CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:1145

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

H. SAUGMANDSGAARD ØE

fremsat den 19. december 2019 (1)

Sag C-311/18

Data Protection Commissioner

mod

Facebook Ireland Limited,

Maximillian Schrems,

Procesdeltagere:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

(anmodning om præjudiciel afgørelse indgivet af High Court (ret i første instans, Irland))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til forretningsmæssige formål til Amerikas Forenede Stater – behandling af de overførte oplysninger, som de offentlige myndigheder i Amerikas Forenede Stater foretager af hensyn til den nationale sikkerhed – artikel 45 – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i et tredjeland – artikel 46 – fornødne garantier, der gives af den dataansvarlige – standardbestemmelser om beskyttelse – artikel 58, stk. 2 – tilsynsmyndighedernes beføjelser – afgørelse 2010/87/EU – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – »EU’s og USA’s værn om privatlivets fred« – artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder«

Indhold

I. Indledning

II. Retsforskrifter

A. Direktiv 95/46/EF

B. Databeskyttelsesforordningen

C. Afgørelse 2010/87

D. Afgørelsen om »EU’s og USA’s værn om privatlivets fred«

III. Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen

IV. Bedømmelse

A. Indledende bemærkninger

B. Om formaliteten vedrørende den præjudicielle forelæggelse

1. Om den tidsmæssige anvendelse af direktiv 95/46

2. Om den foreløbige karakter af den af Commissioner udtrykte tvivl

3. Om den usikkerhed, der er forbundet med fastlæggelsen af de faktiske omstændigheder

C. Hvorvidt EU-retten finder anvendelse på overførsler af personoplysninger til forretningsmæssige formål til en tredjestat, der af hensyn til den nationale sikkerhed kan foretage behandling af disse oplysninger (det første spørgsmål)

D. Om det krævede beskyttelsesniveau i forbindelse med en overførsel på grundlag af standardkontraktbestemmelserne (første del af det sjette spørgsmål)

E. Hvorvidt afgørelse 2010/87 er gyldig i lyset af chartrets artikel 7, 8 og 47 (det syvende, det ottende og det ellevte spørgsmål)

1. Om de forpligtelser, der påhviler de dataansvarlige

2. Om de forpligtelser, der påhviler tilsynsmyndighederne

F. Om den manglende nødvendighed af at besvare de andre præjudicielle spørgsmål og af at undersøge gyldigheden af afgørelsen om »værnet om privatlivets fred«

1. Om den manglende nødvendighed af en besvarelse fra Domstolen som følge af genstanden for tvisten i hovedsagen

2. Om de grunde, der taler imod, at Domstolen foretager en undersøgelse i lyset af genstanden for den procedure, der verserer for Commissioner

G. Subsidiære bemærkninger om virkningerne og gyldigheden af afgørelsen om »værnet om privatlivets fred«

1. Om betydningen af afgørelsen om »værnet om privatlivets fred« for en tilsynsmyndigheds behandling af en klage, der vedrører lovligheden af en overførsel, som foretages på grundlag af kontraktlige garantier

2. Om gyldigheden af afgørelsen om »værnet om privatlivets fred«

a) Præciseringer om indholdet af undersøgelsen af, om en afgørelse om tilstrækkeligheden af beskyttelsesniveauet er gyldig

1) Om elementerne i den sammenligning, der gør det muligt at vurdere, om beskyttelsesniveauet er kendetegnet ved »væsentlig overensstemmelse«

2) Om nødvendigheden af at sikre et tilstrækkeligt beskyttelsesniveau under den fase, hvori oplysningerne er i transit

3) Hvorvidt der skal tages hensyn til de faktiske konstateringer, som Kommissionen og den forelæggende ret har foretaget med hensyn til amerikansk ret

4) Om rækkevidden af standarden for »væsentlig overensstemmelse«

b) Hvorvidt afgørelsen om »værnet om privatlivets fred« er gyldig i lyset af retten til respekt for privatlivet og retten til beskyttelse af personoplysninger

1) Hvorvidt der foreligger indgreb

2) Kravet om, at indgrebene skal være »fastlagt i lovgivningen«

3) Om betingelsen om, at der ikke må gøres indgreb i de grundlæggende rettigheders væsentligste indhold

4) Om forfølgelsen af et lovligt formål

5) Hvorvidt indgrebene er nødvendige og forholdsmæssige

c) Hvorvidt afgørelsen om »værnet om privatlivets fred« er gyldig i lyset af retten til adgang til effektive retsmidler

1) Om effektiviteten af de retsmidler, der er fastsat i amerikansk ret

2) Om ombudsmandsmekanismes betydning for beskyttelsesniveauet for retten til effektive retsmidler

V. Forslag til afgørelse

I. Indledning

1. Eftersom der på verdensplan ikke findes fælles garantier på området for beskyttelse af personoplysninger, er den grænseoverskridende udveksling af sådanne oplysninger forbundet med en risiko for, at det ikke er muligt at opretholde det beskyttelsesniveau, der er sikret inden for Den Europæiske Union. EU-lovgiver har ud fra et ønske om at lette denne udveksling og samtidig begrænse denne risiko indført tre mekanismer, hvorefter personoplysninger kan overføres fra Unionen til en tredjestat.

2. For det første kan en sådan overførsel foretages på grundlag af en afgørelse, hvorved Europa-Kommissionen har fastslået, at den pågældende tredjestat har et »tilstrækkeligt beskyttelsesniveau« for de oplysninger, der overføres til denne tredjestat (2). For det andet er en overførsel i mangel af en sådan afgørelse tilladt, når der er fastsat de »fornødne garantier« herfor (3). Disse garantier kan have karakter af en aftale mellem dataeksportøren og dataimportøren, der indeholder de af Kommissionen vedtagne standardbestemmelser for beskyttelse. For det tredje foreskriver databeskyttelsesforordningen visse undtagelser, der bl.a. er baseret på den registreredes samtykke, og som gør det muligt at foretage en overførsel til et tredjeland, selv om der ikke foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier (4).

3. Anmodningen om præjudiciel afgørelse, der er indgivet af High Court (ret i første instans, Irland), vedrører den anden af disse mekanismer. Den vedrører nærmere bestemt gyldigheden af afgørelse 2010/87/EU (5), hvorved Kommissionen under hensyn til artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) har fastsat standardkontraktbestemmelser for visse kategorier af overførsler.

4. Anmodningen er blevet indgivet i forbindelse med en tvist mellem Data Protection Commissioner (kommissæren for databeskyttelse, Irland, herefter »Commissioner«), på den ene side, og Facebook Ireland Ltd og Maximillian Schrems, på den anden side. Maximillian Schrems har til Commissioner indgivet en klage over, at Facebook Ireland har overført hans personoplysninger til sit moderselskab, Facebook Inc., der har hjemsted i Amerikas Forenede Stater (herefter »USA«). Commissioner er af den opfattelse, at behandlingen af denne klage afhænger af, hvorvidt afgørelse 2010/87 er gyldig. Commissioner har i denne forbindelse indbragt sagen for den forelæggende ret med påstand om, at Domstolen forelægges spørgsmål herom.

5. Jeg vil indledningsvis nævne, at undersøgelsen af de præjudicielle spørgsmål efter min opfattelse intet har frembragt, der kan påvirke gyldigheden af afgørelse 2010/87.

6. Den forelæggende ret har i øvrigt rejst en række tvivlsspørgsmål, der i det væsentlige vedrører spørgsmålet om, hvorvidt det beskyttelsesniveau, der er sikret i USA, er tilstrækkeligt i forhold til de indgreb i udøvelsen af de grundlæggende rettigheder, der tilkommer de personer, hvis oplysninger overføres til dette tredjeland, som de amerikanske efterretningsmyndigheders aktiviteter medfører. Disse tvivlsspørgsmål indebærer indirekte en anfægtelse af de vurderinger, som Kommissionen i denne forbindelse foretog i gennemførelsesafgørelse (EU) 2016/1250 (6). Selv om det for løsningen i hovedsagen ikke er nødvendigt, at Domstolen tager stilling til dette spørgsmål, og jeg derfor vil foreslå den at afholde sig derfra, vil jeg subsidiært redegøre for de grunde, der efter min opfattelse giver anledning til at rejse tvivl om gyldigheden af denne afgørelse.

7. Jeg vil i hele min analyse tage hensyn til behovet for at finde en balance mellem dels nødvendigheden af at udvise »en rimelig grad af pragmatisme for at kunne sikre samspillet med resten af verdenen« (7), dels nødvendigheden af at fremme de grundlæggende værdier, der anerkendes i Unionens og dens medlemsstaters retsordener, herunder navnlig chartret.

II. Retsforskrifter

A. Direktiv 95/46/EF

8. Artikel 3, stk. 2, i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (8) bestemte:

»Dette direktiv gælder ikke for sådan behandling af personoplysninger,

– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

– […]«

9. Dette direktivs artikel 13, stk. 1, havde følgende ordlyd:

»Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:

a) statens sikkerhed

b) forsvaret

c) den offentlige sikkerhed

d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv

e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller […] Union[en], herunder valuta-, budget- og skatteanliggender

f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder

g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«

10. Det nævnte direktivs artikel 25 bestemte:

»1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.

[…]

6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«

11. Det samme direktivs artikel 26, stk. 2 og 4, bestemte:

»2. Med forbehold af stk. 1 kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.

[…]

4. Fastslår Kommissionen […], at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«

12. Artikel 28, stk. 3, i direktiv 95/46 havde følgende ordlyd:

»Hver tilsynsmyndighed skal bl.a. kunne:

[…]

– gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

[…]«

B. Databeskyttelsesforordningen

13. Direktiv 95/46 er i henhold til databeskyttelsesforordningens artikel 94, stk. 1, blevet ophævet med virkning fra den 25. maj 2018, idet databeskyttelsesforordningen i henhold til dennes artikel 99, stk. 2, har fundet anvendelse fra dette tidspunkt.

14. Den nævnte forordnings artikel 2, stk. 2, bestemmer:

»Denne forordning gælder ikke for behandling af personoplysninger:

a) under udøvelse af aktiviteter, der falder uden for EU-retten

b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU

[…]

d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«

15. I samme forordnings artikel 4, nr. 2), defineres »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse«.

16. Databeskyttelsesforordningens artikel 23 bestemmer:

»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a) statens sikkerhed

b) forsvaret

c) den offentlige sikkerhed

d) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

e) andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser […]

[…]

2. Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

a) formålene med behandlingen eller kategorierne af behandling

b) kategorierne af personoplysninger

c) rækkevidden af de indførte begrænsninger

d) garantierne for at undgå misbrug eller ulovlig adgang eller overførsel

e) specifikation af den dataansvarlige eller kategorierne af dataansvarlige

f) opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling

g) risiciene for de registreredes rettigheder og frihedsrettigheder, og

h) de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.«

17. Denne forordnings artikel 44, der har overskriften »Generelt princip for overførsler«, er affattet som følger:

»Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.«

18. Den nævnte forordnings artikel 45, der har overskriften »Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet«, bestemmer:

»1. Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel kræver ikke specifik godkendelse.

2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

a) retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for videreoverførsel af personoplysninger til et andet tredjeland eller en anden international organisation, der gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres

b) tilstedeværelse af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og

c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af personoplysninger.

3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. […]

4. Kommissionen overvåger løbende udvikling i tredjelande og internationale organisationer, der kan påvirke virkningen af afgørelser, der er vedtaget i henhold til denne artikels stk. 3, og afgørelser og beslutninger, der er vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46[…].

5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne artikels stk. 3 ved hjælp af gennemførelsesretsakter, hvis tilgængelige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. […]

6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der har givet anledning til en afgørelse vedtaget i henhold til stk. 5.

[…]

9. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 25, stk. 6, i direktiv 95/46[…], gælder fortsat, indtil de ændres, erstattes eller ophæves ved en kommissionsafgørelse, der vedtages i henhold til nærværende artikels stk. 3 eller 5.«

19. Denne samme forordnings artikel 46, der har overskriften »Overførsler omfattet af fornødne garantier«, er affattet som følger:

»1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:

[…]

c) standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2

[…]

5. Godkendelser fra en medlemsstat eller en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46[…] er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af den pågældende tilsynsmyndighed. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 26, stk. 4, i direktiv 95/46[…], er i kraft, indtil de om nødvendigt ændres, erstattes eller ophæves ved en kommissionsafgørelse, der vedtages i henhold til nærværende artikels stk. 2.«

20. Databeskyttelsesforordningens artikel 58, stk. 2, 4 og 5, bestemmer:

»2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c) at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

e) at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

[…]

i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

j) at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

[…]

4. Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.

5. Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.«

C. Afgørelse 2010/87

21. Kommissionen vedtog på grundlag af artikel 26, stk. 4, i direktiv 95/46 tre afgørelser, hvori den konstaterede, at de deri nævnte standardkontraktbestemmelser gav tilstrækkelige garantier for beskyttelsen af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder (herefter »afgørelserne om standardkontraktbestemmelserne«) (9).

22. Blandt disse tre afgørelser kan nævnes afgørelse 2010/87, hvis artikel 1 har følgende ordlyd: »[d]e i bilaget fastsatte standardkontraktbestemmelser anses for at yde tilstrækkelige garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, som fastsat i artikel 26, stk. 2, i direktiv 95/46[…]«.

23. Denne afgørelses artikel 3 har følgende ordlyd:

»I denne afgørelse forstås ved:

[…]

c) »dataeksportør«: den registeransvarlige, der videregiver personoplysningerne

d) »dataimportør«: den registerfører etableret i et tredjeland, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og denne afgørelse, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46[…]

[…]

f) »den gældende databeskyttelseslovgivning«: den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

[…]«

24. Den nævnte afgørelses artikel 4, stk. 1, havde i sin oprindelige affattelse følgende ordlyd:

»De kompetente myndigheder i medlemsstaterne kan, uden at det berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i henhold til kapitel II, III, V og VI i [direktiv 95/46], gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:

a) når det er fastslået, at den lovgivning, som dataimportøren eller en underkontraheret registerfører er underlagt, pålægger den pågældende krav om at fravige den gældende databeskyttelseslovgivning i en grad, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund, som fastsat i artikel 13 i direktiv 95/46[…], når disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af den gældende databeskyttelseslovgivning og standardkontraktbestemmelserne, eller

b) når en kompetent myndighed har fastslået, at dataimportøren eller en underkontraheret registerfører ikke har overholdt standardkontraktbestemmelserne i bilaget, eller

c) når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat videregivelse af oplysninger vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.«

25. Det fremgår af den nuværende affattelse af artikel 4 i afgørelse 2010/87, således som den følger af den ændring af denne afgørelse, der blev foretaget ved gennemførelsesafgørelse (EU) 2016/2297 (10), at »[n]år de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i [direktiv 95/46], og dette fører til suspension eller definitivt forbud mod overførsel af oplysninger til tredjelande med det formål at beskytte personer i forbindelse med behandlingen af deres personoplysninger, underretter den pågældende medlemsstat straks Kommissionen, som underretter de øvrige medlemsstater«.

26. Bilaget til afgørelse 2010/87 indeholder en række standardkontraktbestemmelser. Den i dette bilag indeholdte standardbestemmelse 3, der har overskriften »Tredjemandsløfte«, har bl.a. følgende ordlyd:

»1. Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2, og standardbestemmelse 9-12 over for dataeksportøren.

2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2, og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.

[…]«

27. Den i det nævnte bilag indeholdte standardbestemmelse 4, der har overskriften »Dataeksportørens pligter«, er affattet som følger:

»Dataeksportøren accepterer og garanterer:

a) at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser

b) at han har instrueret og under behandlingen af personoplysninger vil instruere dataimportøren om kun at behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med den gældende databeskyttelseslovgivning og standardbestemmelserne

c) at dataimportøren vil stille tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2 til denne kontrakt

d) at sikkerhedsforanstaltningerne, efter at være blevet vurderet i forhold til kravene i den gældende databeskyttelseslovgivning, er tilstrækkelige til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et net, samt mod enhver anden form for ulovlig behandling, og at disse foranstaltninger giver et passende databeskyttelsesniveau i forhold til de risici, der er forbundet med behandlingen og arten af de oplysninger, der skal beskyttes, under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse

e) at han vil sikre, at disse sikkerhedsforanstaltninger overholdes

f) at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret eller inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i [direktiv 95/46]

g) at han vil sende meddelelser, som han modtager fra dataimportøren eller en eventuel underkontraheret registerfører i henhold til standardbestemmelse 5, litra b), og [standardbestemmelse] 8, stk. 3, videre til databeskyttelsesmyndigheden, hvis han beslutter at fortsætte videregivelsen eller at ophæve suspensionen

h) at han efter anmodning vil stille følgende til rådighed for de registrerede: et eksemplar af standardbestemmelserne, bortset fra tillæg 2, og en kortfattet beskrivelse af sikkerhedsforanstaltningerne samt et eksemplar af enhver kontrakt om udlicitering, der skal ske i henhold til standardbestemmelserne, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade

i) at behandlingen i tilfælde af udlicitering gennemføres i henhold til standardbestemmelse 11 af en underkontraheret registerfører, der frembyder mindst samme beskyttelsesniveau for den registreredes personoplysninger og rettigheder som dataimportøren i henhold til standardbestemmelserne, og

j) at han vil sikre, at standardbestemmelse 4, litra a)-i), overholdes.«

28. Den i samme bilag indeholdte standardbestemmelse 5, der har overskriften »Dataimportørens pligter (¹)«, har følgende ordlyd:

»Dataimportøren accepterer og garanterer:

a) at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne; såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

b) at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

c) at han, inden han behandler de videregivne personoplysninger, har iværksat de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2

d) at han straks vil give dataeksportøren meddelelse om:

i) retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som [f.eks.] ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager

ii) enhver utilsigtet eller uautoriseret adgang og

iii) anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil

e) at han straks og behørigt vil behandle alle dataeksportørens forespørgsler vedrørende sin behandling af de videregivne personoplysninger og følge tilsynsmyndighedens anbefalinger med hensyn til behandling af de videregivne oplysninger

f) at han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling, og som foretages af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer med tavshedspligt, der er i besiddelse af de nødvendige faglige kvalifikationer, og som udpeges af dataeksportøren, i givet fald efter aftale med tilsynsmyndigheden

[…]«

29. Den fodnote 1, der er anført i overskriften til standardbestemmelse 5 i bilaget til afgørelse 2010/87, har følgende ordlyd:

»Obligatoriske krav i den nationale lovgivning, der finder anvendelse på dataimportøren, og som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46[…], [dvs.] hvis de udgør en nødvendig restriktion af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller brud på etiske regler for lovregulerede erhverv, en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder, er ikke i strid med standardbestemmelserne. Sådanne obligatoriske krav, der ikke er mere vidtgående end det, der er nødvendigt i et demokratisk samfund, er f.eks. internationalt anerkendte sanktioner, oplysningspligt i skattesager eller oplysningspligt til bekæmpelse af hvidvaskning af penge.«

30. Den i dette bilag indeholdte standardbestemmelse 6, der har overskriften »Erstatningsansvar«, er affattet som følger:

»1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.

2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor.

[…]«

31. Den i det nævnte bilag indeholdte standardbestemmelse 7, der har overskriften »Mægling og værneting«, har følgende ordlyd:

»1. Hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning i henhold til standardbestemmelserne, vil dataimportøren acceptere den registreredes beslutning om:

a) at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden

b) at henvise sagen til domstolene i den medlemsstat, hvor dataeksportøren er etableret.

2. Parterne er enige om, at den registreredes valg ikke har nogen indvirkning på den registreredes materielle eller processuelle rettigheder til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret.«

32. Det fremgår af den i samme bilag indeholdte standardbestemmelse 9, der har overskriften »Lovvalg«, at standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

D. Afgørelsen om »EU’s og USA’s værn om privatlivets fred«

33. Kommissionen vedtog på grundlag af artikel 25, stk. 6, i direktiv 95/46 to på hinanden følgende afgørelser, hvori den fastslog, at USA sikrede et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der blev overført til de virksomheder i USA, der ved en selvcertificeringsprocedure havde erklæret, at de tilsluttede sig de i disse afgørelser nævnte principper.

34. Kommissionen vedtog i første omgang beslutning 2000/520/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra [USA’s] handelsministerium (11). I dom af 6. oktober 2015, Schrems (12), fastslog Domstolen, at denne afgørelse var ugyldig.

35. Efter denne dom vedtog Kommissionen i anden omgang afgørelsen om »værnet om privatlivets fred«.

36. Denne afgørelses artikel 1 er affattet som følger:

»1. Med henblik på artikel 25, stk. 2, i direktiv 95/46[…] sikrer USA et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under EU’s og USA’s værn om privatlivets fred.

2. EU’s og USA’s værn om privatlivets fred består af de principper, som er opstillet af det amerikanske handelsministerium den 7. juli 2016 som fastsat i bilag II og de officielle udredninger og tilsagn indeholdt i de dokumenter, der er opført i bilag [I og III-VII].

3. Med henblik på stk. 1 overføres personoplysninger under EU’s og USA’s værn om privatlivets fred, hvis de overføres fra EU til foretagender i USA, der er opført på »listen over deltagere i værnet om privatlivets fred«, som føres og offentliggøres af det amerikanske handelsministerium i overensstemmelse med afsnit I og III i principperne i bilag II.«

37. Bilag III A til denne afgørelse, der har overskriften »Ombudsmandsmekanismen i EU’s og USA’s værn om privatlivets fred Signalefterretning«, og som er vedlagt en skrivelse af 7. juli 2016 fra den daværende Secretary of State (udenrigsminister, USA), John Kerry, indeholder et memorandum, som beskriver en ny ombudsmandsmekanisme for sager, der vil kunne indbringes for en »Senior Coordinator for International Information Technology Diplomacy« (herefter »ombudsmanden«), og som udpeges af udenrigsministeren.

38. Det fremgår af dette memorandum, at denne procedure blev indført »for at lette behandlingen af anmodninger om adgang til oplysninger overført fra [Unionen] til USA til nationale sikkerhedsformål under værnet om privatlivets fred eller i henhold til standardkontraktbestemmelser, bindende virksomhedsregler, »undtagelser« eller »mulige fremtidige undtagelser« gennem de kanaler, der er fastlagt i gældende amerikanske love og politikker, og for at lette besvarelsen af disse anmodninger«.

III. Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen

39. Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, er bruger af det sociale netværk Facebook. Alle brugere af dette sociale netværk, der har bopæl på Unionens område, er i forbindelse med deres registrering forpligtet til at indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende disse brugere overføres helt eller delvist til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for behandlinger.

40. Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige anmodede denne om at forbyde Facebook Ireland at overføre hans personoplysninger til USA. Han gjorde heri gældende, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevaredes på landets område, mod de indgreb, der var forbundet med den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Maximillian Schrems henviste i denne henseende til Edward Snowdens afsløringer om amerikanskes efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (NSA) (den nationale sikkerhedstjeneste, USA).

41. Denne klage blev afslået bl.a. med den begrundelse, at ethvert spørgsmål om, hvorvidt beskyttelsen var tilstrækkelig i USA, skulle afgøres i overensstemmelse med »safe harbor«-beslutningen. Kommissionen havde i denne beslutning fastslået, at dette tredjeland sikrede et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der blev overført til de virksomheder, som var beliggende inden for dets område, og som havde tilsluttet sig de principper, der fremgår af den nævnte beslutning.

42. Maximillian Schrems anlagde sag ved High Court (ret i første instans) til prøvelse af afgørelsen om afslag på hans klage. Denne ret var af den opfattelse, at selv om Maximillian Schrems ikke formelt havde bestridt gyldigheden af »safe harbor«-beslutningen, havde han i realiteten gjort indsigelse mod lovligheden af den ved denne beslutning indførte ordning. Den nævnte ret forelagde under disse omstændigheder Domstolen spørgsmål, der nærmere bestemt vedrørte spørgsmålet om, hvorvidt medlemsstaternes databeskyttelsesmyndigheder (herefter »tilsynsmyndighederne«), når de behandler en klage, der vedrører beskyttelsen af en persons rettigheder og frihedsrettigheder i forbindelse med behandlingen af dennes personoplysninger, som er blevet overført til en tredjestat, er bundet af de konstateringer, som Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46 har foretaget af, at denne tredjestat sikrer et tilstrækkeligt beskyttelsesniveau, selv om klageren har anfægtet disse konstateringer.

43. Efter at Domstolen i Schrems-dommens præmis 51 og 52 havde fastslået, at en afgørelse om tilstrækkeligheden af beskyttelsesniveauet er bindende for tilsynsmyndighederne, så længe denne afgørelse ikke er blevet erklæret ugyldig, udtalte den følgende i denne doms præmis 63 og 65:

»63 […] Når en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, der har været genstand for en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, indgiver en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger til en national tilsynsmyndighed og i forbindelse med denne anmodning bestrider […], at afgørelsen er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, påhviler det […] denne myndighed at behandle anmodningen med den fornødne omhu.

[…]

65 I det […] tilfælde, hvor den nævnte myndighed finder, at de klagepunkter, som er fremsat af den[ne] person […], er begrundede, skal myndigheden i overensstemmelse med artikel 28, stk. 3, første afsnit, tredje led, i direktiv 95/46, sammenholdt med bl.a. chartrets artikel 8, stk. 3, kunne anlægge sag. I denne henseende påhviler det den nationale lovgiver at fastsætte retsmidler, der gør det muligt for den pågældende nationale tilsynsmyndighed at gøre de klagepunkter, som den finder begrundede, gældende for de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af Kommissionens afgørelse, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af denne afgørelses gyldighed.«

44. Domstolen undersøgte i den nævnte dom endvidere gyldigheden af »safe harbor«-beslutningen i lyset af de krav, der følger af direktiv 95/46, sammenholdt med chartret. På baggrund af denne undersøgelse fastslog Domstolen, at denne beslutning var ugyldig (13).

45. Efter Schrems-dommen annullerede den forelæggende ret den afgørelse, hvorved Commissioner havde afslået Maximillian Schrems’ klage, og hjemviste klagen til behandling hos Commissioner. Commissioner indledte en undersøgelse og opfordrede Maximillian Schrems til at omformulere sin klage som følge af, at »safe harbor«-beslutningen var blevet erklæret ugyldig.

46. Maximillian Schrems anmodede i denne forbindelse Facebook Ireland om at nævne det retsgrundlag, der lå til grund for, at personoplysninger om brugerne af det sociale netværk Facebook blev overført fra Unionen til USA. Facebook Ireland henviste uden at angive hele det retsgrundlag, som den støttede sig på, til en aftale om dataoverførsel og ‑behandling (data transfer processing agreement), som Facebook Ireland havde indgået med Facebook Inc., og som havde fundet anvendelse fra den 20. november 2015, og påberåbte sig afgørelse 2010/87.

47. Maximillian Schrems gjorde i den omformulerede klage for det første gældende, at de i denne aftale indeholdte bestemmelser ikke var forenelige med de standardkontraktbestemmelser, der fremgår af bilaget til afgørelse 2010/87. Maximillian Schrems hævdede for det andet, at disse standardkontraktbestemmelser under alle omstændigheder ikke kunne begrunde overførslen af hans personoplysninger til USA. Dette skyldtes, at Facebook Inc. i henhold til amerikansk ret er forpligtet til at stille brugernes personoplysninger til rådighed for de amerikanske myndigheder, såsom NSA og Federal Bureau of Investigation (FBI) (den føderale efterforskningsmyndighed, USA), i forbindelse med overvågningsprogrammer, som hindrer udøvelsen af de rettigheder, der er sikret ved chartrets artikel 7, 8 og 47. Maximillian Schrems anførte, at der ikke fandtes retsmidler, der gjorde det muligt for de registrerede at gøre deres ret til respekt for privatlivet og ret til beskyttelse af personoplysninger gældende. Maximillian Schrems anmodede under disse omstændigheder Commissioner om at suspendere denne overførsel i henhold til artikel 4 i afgørelse 2010/87.

48. Facebook Ireland bekræftede i forbindelse med Commissioners undersøgelse, at selskabet fortsat overførte personoplysninger om de brugere af det sociale netværk Facebook, der havde bopæl i Unionen, til USA, og at den i denne forbindelse i vidt omfang støttede sig på de standardkontraktbestemmelser, der fremgår af bilaget til afgørelse 2010/87.

49. Commissioners undersøgelse havde til formål at fastlægge, dels om USA sikrede en tilstrækkelig beskyttelse af unionsborgernes personoplysninger, dels om afgørelserne om standardkontraktbestemmelserne, såfremt dette ikke måtte være tilfældet, gav tilstrækkelige garantier for beskyttelsen af disse unionsborgeres frihedsrettigheder og grundlæggende rettigheder.

50. I et udkast til afgørelse (draft decision), anførte Commissioner i denne forbindelse foreløbigt, at amerikansk ret ikke indeholdt effektive retsmidler, som omhandlet i chartrets artikel 47, for de unionsborgere, hvis oplysninger var blevet overført til USA, hvor der bestod en risiko for, at amerikanske tjenester af hensyn til den nationale sikkerhed ville behandle disse oplysninger på en måde, som var uforenelig med chartrets artikel 7 og 8. De garantier, der er sikret ved de bestemmelser, som fremgår af bilaget til afgørelserne om standardkontraktbestemmelserne, kunne ikke afhjælpe denne mangel, idet de ikke var bindende for de amerikanske myndigheder og tjenester, og idet de kun gav de registrerede kontraktlige rettigheder mod dataeksportøren og/eller dataimportøren.

51. Commissioner fandt under disse omstændigheder, at han ikke kunne tage stilling til Maximillian Schrems’ klage, før Domstolen havde undersøgt gyldigheden af afgørelserne om standardkontraktbestemmelserne. Commissioner indledte derfor i overensstemmelse med, hvad der fremgår af Schrems-dommens præmis 65, en sag ved den forelæggende ret med det formål, at denne ret, såfremt den måtte dele Commissioners tvivl, skulle forelægge Domstolen en anmodning om præjudiciel afgørelse om gyldigheden af disse afgørelser.

52. USA’s regering, Electronic Privacy Information Centre (EPIC), Business Software Alliance (BSA) og Digitaleurope fik tilladelse til at intervenere ved den forelæggende ret.

53. Med henblik på at undersøge, om High Court (ret i første instans) delte Commissioners tvivl vedrørende gyldigheden af afgørelserne om standardkontraktbestemmelserne, modtog denne ret de beviser, som parterne i tvisten havde fremlagt, og fik forelagt parternes og intervenienternes argumenter. En række eksperter foretog bl.a. en gennemgang af bestemmelserne i amerikansk ret. I henhold til irsk ret anses udenlandsk lovgivning for en faktisk omstændighed, der skal fastlægges ved bevisførelse på samme måde som en hvilken som helst anden faktisk omstændighed. På grundlag af disse beviser foretog den forelæggende ret en vurdering af de bestemmelser i amerikansk ret, der giver myndigheder og statslige organer tilladelse til at foretage overvågning, den måde, hvorpå de offentligt anerkendte overvågningsprogrammer (»PRISM« og »Upstream«), fungerer, de forskellige retsmidler, der er tilgængelige for de borgere, hvis rettigheder er blevet tilsidesat som følge af overvågningsforanstaltninger, og de systemiske garantier og tilsynsmekanismer. Denne ret anførte resultaterne af denne vurdering i en dom af 3. oktober 2017, der er vedlagt som bilag til forelæggelsesafgørelsen (herefter »dom afsagt af High Court (ret i første instans) den 3. oktober 2017«).

54. I denne dom henviste den foreliggende ret blandt de retsgrundlag, der tillader, at de amerikanske efterretningstjenester foretager opfangning af udenlandsk kommunikation, til section 702 i Foreign Intelligence Surveillance Act (FISA) (lov om overvågning af udenlandsk efterretningsvirksomhed) og til Executive Order 12333 (præsidentielt dekret nr. 12333, herefter »EO 12333«).

55. Det fremgår af de konstateringer, der er foretaget i den nævnte dom, at FISA’s section 702 giver Attorney General (statsanklageren, USA) og Director of National Intelligence (DNI) (direktøren for den nationale efterforskningstjeneste, USA) mulighed for i fællesskab at give en etårig tilladelse til, at der med henblik på at indsamle udenlandske efterretningsoplysninger foretages overvågning af personer, der ikke er amerikanske statsborgere, og som ikke har varig bopæl i USA (de såkaldte »ikke-amerikanske personer«), når det er rimeligt at antage, at de befinder sig uden for USA’s område (14). Som det fremgår af FISA betegner begrebet »udenlandske efterretninger« de oplysninger, der vedrører regeringens evne til at beskytte sig mod udenlandske angreb, terrorisme, spredning af masseødelæggelsesvåben og USA’s håndtering af udenrigsanliggender (15).

56. Disse årlige tilladelser skal i lighed med de procedurer, der gælder for målrettet overvågning af personer og behandling (»minimering«) af de indsamlede oplysninger (16), godkendes af Foreign Intelligence Surveillance Court (FISC) (ret i sager om overvågning af udenlandsk efterretningsvirksomhed, USA). Den »traditionelle« overvågning, der foretages på grundlag af andre bestemmelser i FISA, kræver, at det godtgøres, at der foreligger en »sandsynlig grund« til at mistænke, at de overvågede personer tilhører en fremmed magt eller handler som agenter for en fremmed magt, mens de overvågningsaktiviteter, der foretages i henhold til FISA’s section 702, ikke er underlagt et krav om, at det skal godtgøres, at der foreligger en sådan »sandsynlig grund«, eller at FISC skal godkende den målrettede overvågning af bestemte personer. Som det endvidere fremgår af den forelæggende rets konstateringer, finder minimeringsprocedurerne ikke anvendelse på de ikke-amerikanske personer, der opholder sig uden for USA.

57. Når FISC har meddelt tilladelse, sender NSA i praksis en instruks til de udbydere af elektroniske kommunikationstjenester, der er etableret i USA, og som indeholder søgekriterier, der benævnes »selektorer«, der vedrører de udpegede personer (såsom telefonnummer eller e-mailadresse). Disse udbydere har derefter pligt til at videregive de oplysninger, der svarer til disse selektorer, til NSA og til at hemmeligholde indholdet af de instrukser, som de har modtaget. De har mulighed for at indbringe en sag for FISC med påstand om, at der foretages en ændring af NSA’s instruks, eller at der ses bort herfra. FISC’s afgørelse kan gøres til genstand for appel ved Foreign Intelligence Surveillance Court of Review (FISCR) (appeldomstol i sager om overvågning af udenlandsk efterretningsvirksomhed, USA).

58. High Court (ret i første instans) har fastslået, at FISA’s section 702 udgør retsgrundlaget for PRISM- og Upstream-programmerne.

59. Udbyderne af elektroniske kommunikationstjenester har inden for rammerne af PRISM-programmet pligt til til NSA at videregive al kommunikation »fra« eller »til« den selektor, som NSA har givet meddelelse om. En del af denne kommunikation videregives til FBI og Central Intelligence Agency (CIA) (den centrale efterretningstjeneste, USA). I 2015 var 94 386 personer genstand for overvågning, og i 2011 indhentede USA’s regering mere end 250 mio. kommunikationer inden for rammerne af dette program.

60. Upstream-programmet er baseret på en obligatorisk pligt for de virksomheder, der benytter »rygraden« – dvs. kabelnetværket, switchere og routere – hvorigennem telefon- og internetkommunikation passerer. Disse virksomheder har pligt til at give NSA mulighed for at kopiere og filtrere internettrafikken for at kunne tilgå kommunikation »fra«, »til« eller »vedrørende« en selektor, der er nævnt i en instruks fra denne tjeneste. Den kommunikation, der »vedrører« en selektor, udpeger den kommunikation, der omtaler denne selektor, uden at den ikke-amerikanske person, som den nævnte selektor vedrører, nødvendigvis har deltaget i kommunikationen. Selv om det fremgår af en meddelelse af 26. april 2017 fra FISC, at USA’s regering efter denne dato ikke længere indsamler eller erhverver kommunikation »vedrørende« en selektor, fremgår det ikke af denne meddelelse, at NSA er ophørt med at kopiere og filtrere de kommunikationsstrømme, der passerer gennem dens overvågningsinstrumenter. Upstream-programmet indebærer også, at NSA får adgang til såvel metadata som indholdet af kommunikationen. NSA har siden 2011 årligt indsamlet ca. 26,5 mio. kommunikationer inden for rammerne af Upstream-programmet, hvilket imidlertid kun udgør en lille del af den kommunikation, der behandles under den filtreringsproces, som foretages i forbindelse med dette program.

61. Det fremgår i øvrigt af de af High Court (ret i første instans) foretagne konstateringer, at det i henhold til EO 12333 er tilladt at foretage overvågning af elektronisk kommunikation uden for USA’s område ved at gøre det muligt til udenlandske efterretningsformål at tilgå oplysninger, der er i »transit« til dette område, eller som »transiterer« gennem dette område, uden at der på dette område tilsigtes en behandling heraf, og at indsamle og opbevare disse oplysninger. I EO 12333 er begrebet »udenlandske efterretninger« defineret således, at det omfatter de oplysninger, der vedrører udenlandske regeringers, udenlandske organisationers og udenlandske personers evne, hensigter og aktiviteter (17).

62. EO 12333 giver NSA mulighed for tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, hvorigennem der sker en overførsel af oplysninger fra Unionen til USA, før disse oplysninger når frem til USA og som følge heraf bliver omfattet af bestemmelserne i FISA. Der foreligger imidlertid ikke beviser for, at der er gennemført nogen form for program i henhold til dette præsidentielle dekret.

63. Selv om EO 12333 fastsætter begrænsninger for indsamlingen, tilbageholdelsen og udbredelsen af oplysninger, finder disse begrænsninger ikke anvendelse på ikke-amerikanske personer. Disse personer er udelukkende omfattet af de garantier, der er nævnt i Presidential Policy Directive 28 (præsidentielt strategidirektiv nr. 28, herefter »PPD 28«), som finder anvendelse på alle aktiviteter, der består i indsamling og anvendelse af oplysninger på området for signalefterretninger. Det fremgår af PPD 28, at respekt for privatlivet udgør en integrerende del af de betragtninger, der skal tages hensyn til i forbindelse med planlægningen af disse aktiviteter, at indsamlingen alene må have som formål at erhverve udenlandske efterretningsoplysninger og oplysninger om kontraspionage, og at de nævnte aktiviteter skal være »så målrettede som muligt«.

64. De aktiviteter, som NSA udfører på grundlag af EO 12333, som USA’s præsident til enhver tid kan ændre eller tilbagekalde, er efter den forelæggende rets opfattelse ikke reguleret ved lov, ikke underlagt et retsligt tilsyn og kan ikke gøres til genstand for domstolsprøvelse.

65. Denne ret er på baggrund af disse konstateringer af den opfattelse, at USA foretager omfattende og vilkårlige behandlinger af personoplysninger, der kan medføre en risiko for, at de rettigheder, der tilkommer de registrerede i henhold til chartrets artikel 7 og 8, tilsidesættes.

66. Den nævnte ret har endvidere anført, at unionsborgere ikke har adgang til de samme retsmidler til prøvelse af, om de amerikanske myndigheder har foretaget ulovlige behandlinger af deres personoplysninger, som amerikanske statsborgere. Den fjerde tillægsbestemmelse til USA’s forfatning, der udgør den vigtigste beskyttelse mod ulovlig overvågning, finder ikke anvendelse på unionsborgere, der ikke har en væsentlig og frivillig tilknytning til USA. Selv om disse unionsborgere imidlertid har adgang til visse andre retsmidler, er disse retsmidler forbundet med væsentlige forhindringer.

67. Artikel III i USA’s forfatning gør bl.a. anlæggelsen af ethvert søgsmål ved de føderale domstole betinget af, at den berørte person godtgør, at vedkommende har søgsmålskompetence (standing). Søgsmålskompetence forudsætter bl.a., at denne person godtgør at have lidt en faktisk skade, der dels er konkret og isoleret, dels er aktuel eller nært forestående. Den forelæggende ret er bl.a. med henvisning til dommen i sagen Clapper mod Amnesty International US (18) afsagt af Supreme Court of the United States (USA’s øverste domstol) af den opfattelse, at denne betingelse i praksis er uforholdsmæssigt vanskelig at opfylde, henset til bl.a. den manglende pligt til at underrette de registrerede om de overvågningsforanstaltninger, der er truffet over for dem (19). En del af de retsmidler, som unionsborgere har adgang til, er endvidere underlagt et krav om opfyldelse af andre strenge betingelser, såsom kravet om at godtgøre, at der foreligger et økonomisk tab. Den statslige immunitet, der indrømmes efterretningstjenesterne, og klassificeringen af de relevante oplysninger, udgør også en hindring for udøvelsen af visse af disse retsmidler (20).

68. High Court (ret i første instans) har endvidere redegjort for forskellige kontrol- og tilsynsmekanismer for de aktiviteter, der udføres af efterretningstjenesterne.

69. Blandt disse mekanismer indgår for det første den årlige mekanisme, hvorved FISC certificerer programmer på grundlag af FISA’s section 702, i hvilken forbindelse FISC imidlertid ikke godkender de individuelle selektorer. Indsamlingen af udenlandske efterretningsoplysninger i henhold til EO 12333 er i øvrigt ikke omfattet af nogen form for forudgående retslig prøvelse.

70. For det andet har den forelæggende ret henvist til flere mekanismer for udenretsligt tilsyn med efterretningsaktiviteter. Denne ret har bl.a. nævnt den rolle, der varetages af Inspectors General (generalinspektører, USA), der inden for hver enkelt efterretningstjeneste har ansvaret for at føre tilsyn med overvågningsaktiviteterne. Privacy and Civil Liberties Oversight Board (PCLOB) (råd for tilsyn med privatlivets fred og borgerlige rettigheder, USA), der et organ, som er uafhængigt af de udøvende myndigheder, modtager endvidere rapporter fra personer, der inden for hver enkelt tjeneste er udpeget som databeskyttelsesrådgiver (civil liberties or privacy officers). PCLOB udfærdiger løbende rapporter til de parlamentariske udvalg og præsidenten. De berørte tjenester har pligt til at gøre bl.a. DNI opmærksom på hændelser, der indebærer en tilsidesættelse af de regler og procedurer, der gælder for indsamling af udenlandske efterretninger. Disse hændelser skal desuden meddeles til FISC. USA’s Kongres er gennem Repræsentanternes Hus’ og Senatets efterretningsudvalg også pålagt ansvaret for at føre tilsyn med udenlandske efterretningsaktiviteter.

71. High Court (ret i første instans) har imidlertid fremhævet den grundlæggende forskel mellem dels de regler, der har til formål at sikre, at oplysningerne er indsamlet lovligt, og at de efter indsamlingen ikke gøres til genstand for misbrug, dels de retsmidler, der er tilgængelige, når disse regler er blevet tilsidesat. Beskyttelsen af de registreredes grundlæggende rettigheder kan kun sikres, såfremt de har adgang til effektive retsmidler, der giver dem mulighed for at gøre deres rettigheder gældende i tilfælde af, at de nævnte regler tilsidesættes.

72. Den forelæggende ret er under disse omstændigheder af den opfattelse, at det af Commissioner fremførte argument om, at de i amerikansk ret fastsatte begrænsninger af den ret til søgsmålsadgang, der tilkommer de personer, hvis oplysninger er blevet overført fra Unionen, ikke er forenelige med det væsentligste indhold af den ret, der er sikret ved chartrets artikel 47, og under alle omstændigheder udgør et uforholdsmæssigt indgreb i udøvelsen af denne ret, skal anses for begrundet.

73. High Court (ret i første instans) har anført, at den omstændighed, at USA’s regering har indført den ombudsmandsmekanisme, der er beskrevet i afgørelsen om »værnet om privatlivets fred«, ikke rejser tvivl om denne vurdering. Efter at have nævnt, at denne mekanisme er tilgængelig for de unionsborgere, der på et rimeligt grundlag vurderer, at deres oplysninger er blevet overført i henhold til afgørelserne om standardkontraktbestemmelserne (21), har denne ret anført, at ombudsmanden ikke udgør en domstol, der opfylder kravene i chartrets artikel 47, og navnlig at denne ikke er uafhængig af den udøvende magt (22). Den nævnte ret er endvidere i tvivl om, hvorvidt et indgreb, der foretages af en ombudsmand, hvis afgørelser ikke kan gøres til genstand for domstolsprøvelse, udgør et effektivt retsmiddel. Dette indgreb giver nemlig ikke de personer, hvis personoplysninger ulovligt er blevet indsamlet, behandlet eller delt, mulighed for at opnå kompensation eller et påbud om at ophøre med de ulovlige handlinger, idet ombudsmanden hverken be- eller afkræfter, at en klager har været genstand for en elektronisk overvågningsforanstaltning.

74. Efter at den forelæggende ret således har redegjort for sine betænkeligheder med hensyn til, om de garantier, der er fastsat i amerikansk ret, i det væsentlige svarer til de krav, der følger af chartrets artikel 7, 8 og 47, har den sat spørgsmålstegn ved, om de standardkontraktbestemmelser, der er fastsat i afgørelserne om standardkontraktbestemmelserne – der som følge af deres art ikke er bindende for de amerikanske myndigheder – ikke desto mindre kan sikre beskyttelsen af de registreredes grundlæggende rettigheder. Denne ret har på denne baggrund konkluderet, at den er enig i den tvivl, som Commissioner har givet udtryk for med hensyn til disse afgørelsers gyldighed.

75. Den forelæggende ret er i denne henseende bl.a. af den opfattelse, at artikel 28, stk. 3, i direktiv 95/46, hvortil der er henvist i artikel 4 i afgørelse 2010/87, for så vidt som denne bestemmelse tillægger tilsynsmyndighederne beføjelse til at suspendere eller forbyde overførsler på grundlag af de standardkontraktbestemmelser, der er fastsat i denne afgørelse, ikke er tilstrækkelig til at fjerne denne tvivl. Ud over den omstændighed, at denne beføjelse efter den forelæggende rets opfattelse kun har skønsmæssig karakter, er denne ret i lyset af 11. betragtning til afgørelse 2010/87 i tvivl om, hvorvidt det er muligt at udøve denne beføjelse, når de konstaterede mangler ikke vedrører et konkret og særligt tilfælde, men har en generel og systemisk karakter (23). Den forelæggende ret er endvidere af den opfattelse, at risikoen for, at der træffes forskellige afgørelser i forskellige medlemsstater, kan være til hinder for, at det overlades til tilsynsmyndighederne at foretage konstateringen af, om der foreligger sådanne mangler.

76. High Court (ret i første instans) har ved afgørelse af 4. maj 2018 (24), der indgik til Domstolen den 9. maj 2018, under disse omstændigheder besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Under omstændigheder, hvor et privat selskab [overfører] personoplysninger fra en medlemsstat i [Unionen] til et privat selskab i et tredjeland med et forretningsmæssigt formål i medfør af afgørelse 2010/87 […], og hvor personoplysningerne kan undergå yderligere behandling i dette tredjeland af myndighederne af hensyn til den nationale sikkerhed, men også med henblik på retshåndhævelse og tredjelandets håndtering af udenrigsanliggender, finder EU-retten (herunder [chartret]) da anvendelse på [overførslen] af oplysninger uanset bestemmelserne i artikel 4, stk. 2, TEU om national sikkerhed og bestemmelserne i artikel 3, stk. 2, første led, i direktiv 95/46[…] om offentlig sikkerhed, forsvar og statens sikkerhed?

2) a) Ved afgørelsen af, om der er tale om krænkelse af en privatpersons rettigheder ved [overførslen] af oplysninger fra [Unionen] til et tredjeland i henhold til […] afgørelse [2010/87], hvor oplysningerne kan undergå yderligere behandling af hensyn til den nationale sikkerhed, er det relevante sammenligningsgrundlag med henblik på direktiv [95/46] da:

i) chartret, [EU-traktaten], [EUF-traktaten], direktiv [95/46] og [den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950, herefter »EMRK«] (eller andre EU-retlige bestemmelser) eller

ii) en eller flere medlemsstaters nationale ret?

b) Hvis det relevante sammenligningsgrundlag er [ii)], skal praksis i sammenhæng med den nationale sikkerhed i en eller flere medlemsstater da også medtages i sammenligningsgrundlaget?

3) Ved bedømmelsen af, om et tredjeland sikrer det i EU-retten krævede beskyttelsesniveau for personoplysninger, der [overføres] til det pågældende land som omhandlet i […] artikel 26 [i direktiv 95/46], bør beskyttelsesniveauet i tredjelandet da bedømmes under henvisning til:

a) de gældende regler i tredjelandet, der følger af dettes nationale ret eller internationale forpligtelser, og praksis, der skal sikre overholdelsen af disse regler, herunder faglige regler og sikkerhedsforanstaltninger, som overholdes i tredjelandet,

eller

b) de regler, der er henvist til under a), sammen med administrativ praksis, regulerings- og overholdelsespraksis samt de politiske garantier, procedurer, protokoller, tilsynsmekanismer og udenretslige midler, der findes i tredjelandet?

4) Henset til de kendsgerninger, som High Court [(ret i første instans)] fastslog vedrørende amerikansk ret, krænker det da privatpersoners rettigheder i henhold til chartrets artikel 7 og/eller 8, hvis personoplysninger [overføres] fra [Unionen] til USA i henhold til […] afgørelse [2010/87]?

5) Henset til de kendsgerninger, som High Court [(ret i første instans)] fastslog vedrørende amerikansk ret, hvis personoplysninger overføres fra [Unionen] til USA i henhold til […] afgørelse [2010/87]:

a) overholder beskyttelsesniveauet i USA da [det væsentligste indhold] af en privatpersons ret til et retsmiddel i tilfælde af krænkelse af [den pågældendes] rettigheder vedrørende personoplysninger, der garanteres ved chartrets artikel 47?

Hvis svaret på a) er bekræftende,

b) er de begrænsninger, som amerikansk ret pålægger en privatpersons adgang til et retsmiddel i sammenhæng med USA’s nationale sikkerhed, da forholdsmæssige i den i chartrets artikel 52 omhandlede betydning og går ikke videre end det, der er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed?

6) a) Hvilket beskyttelsesniveau kræves der for personoplysninger, som [overføres] til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i overensstemmelse med Kommissionens afgørelse i henhold til artikel 26, stk. 4, [i direktiv 95/46,] i lyset af [dette] direktiv[s] bestemmelser, navnlig [dette direktivs] artikel 25 og 26 forstået i lyset af chartret?

b) Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der [overføres] til et tredjeland i henhold til […] afgørelse [2010/87], opfylder kravene i direktiv [95/46] og chartret?

7) Er det forhold, at standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, som kan pålægge dataimportøren at stille personoplysninger til rådighed for landets sikkerhedstjenester med henblik på yderligere behandling, i medfør af bestemmelser, der er fastsat i […] afgørelse [2010/87], til hinder for, at bestemmelserne yder tilstrækkelige garantier som forudsat i […] artikel 26, stk. 2 [i direktiv 95/46]?

8) Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter [en tilsynsmyndigheds] opfattelse er i strid med [standardkontraktbestemmelserne], […] artikel 25 og 26 [i direktiv 95/46] […] eller chartret, skal [tilsynsmyndigheden] da anvende sine håndhævelsesbeføjelser i henhold til […] artikel 28, stk. 3, [i direktiv 95/46] til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde i lyset af 11. betragtning til […] [afgørelse 2010/87], eller kan en [tilsyns]myndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?

9) a) Med henblik på anvendelsen af […] artikel 25, stk. 6, [i direktiv 95/46] udgør afgørelse[n »om værnet om privatlivets fred«] da en konstatering, der finder generel anvendelse, og som er bindende for [tilsyns]myndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau i den i […] artikel 25, stk. 2, [i direktiv 95/46] omhandlede forstand gennem landets nationale ret eller de internationale forpligtelser, det har påtaget sig?

b) Hvis den ikke gør det, hvilken betydning, om nogen, har afgørelsen [»]om værnet af privatlivets fred[«] da ved den foretagne bedømmelse af, om de garantier, der gives for oplysninger, som er videregivet til USA i medfør af […] afgørelse [2010/87], er tilstrækkelige?

10) Henset til High Courts [(ret i første instans)] konstateringer vedrørende amerikansk ret sikrer oprettelsen af ombudsmanden under [»]værnet om privatlivets fred[«] i henhold til bilag [III] A […] til afgørelsen [»]om værnet om privatlivets fred[«], sammenholdt med den eksisterende ordning i USA, da, at USA stiller et med chartrets artikel 47 foreneligt retsmiddel til rådighed for de registrerede personer, hvis personoplysninger [overføres] til USA i henhold til […] afgørelse [2010/87]?

11) Overtræder […] afgørelse [2010/87] chartrets artikel 7, 8 […] eller 47?«

77. Commissioner, Facebook Ireland, Maximillian Schrems, USA’s regering, EPIC, BSA, Digitaleurope, Irland, den belgiske, den tjekkiske, den tyske, den nederlandske, den østrigske, den polske, den portugisiske og Det Forenede Kongeriges regering samt Europa-Parlamentet og Kommissionen har indgivet skriftlige indlæg til Domstolen. Commissioner, Facebook Ireland, Maximillian Schrems, USA’s regering, EPIC, BSA, Digitaleurope, Irland, den tyske, den franske, den nederlandske, den østrigske og Det Forenede Kongeriges regering, samt Parlamentet, Kommissionen og Det Europæiske Databeskyttelsesråd (European Data Protection Board, EDPB) var repræsenteret i retsmødet, der blev afholdt den 9. juli 2019.

IV. Bedømmelse

A. Indledende bemærkninger

78. Efter at Domstolen i Schrems-dommen fastslog, at »safe harbor«-beslutningen var ugyldig, er der fortsat sket overførsel af personoplysninger til USA i medfør af andre retsgrundlag. De dataeksporterende selskaber har navnlig haft mulighed for at indgå aftaler med dataimportørerne, der indeholder de af Kommissionen udfærdigede standardbestemmelser. Disse standardbestemmelser udgør endvidere retsgrundlaget for overførslerne til en lang række andre tredjelande, i hvilken forbindelse Kommissionen ikke har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (25). Afgørelsen »om værnet om privatlivets fred« gør det fremover muligt for de virksomheder, der har anmeldt selvcertificering om tilslutning til de deri nævnte principper, uden videre at overføre personoplysninger til USA.

79. Som det udtrykkeligt fremgår af forelæggelsesafgørelsen, og som BSA, Digitaleurope, Irland, den østrigske og den franske regering samt Parlamentet og Kommissionen har anført, har den tvist i hovedsagen, der verserer for High Court (ret i første instans), kun til formål at fastslå, om den afgørelse, hvorved Kommissionen indførte de standardkontraktbestemmelser, der er påberåbt til støtte for de overførsler, som er genstand for Maximillian Schrems’ klage, dvs. afgørelse 2010/87 (26), er gyldig.

80. Denne tvist udspringer af en klage, i hvilken forbindelse Commissioner har anmodet den forelæggende ret om at forelægge Domstolen et præjudicielt spørgsmål om gyldigheden af afgørelse 2010/87. Ifølge denne ret vedrører tvisten i hovedsagen således anvendelsen af de retsmidler, som Domstolen i Schrems-dommens præmis 65 pålagde medlemsstaterne at indføre.

81. Der erindres om, at Domstolen i denne doms præmis 63 fastslog, at en tilsynsmyndighed har pligt til med den fornødne omhu at behandle en klage, hvorved en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, der har været genstand for en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bestrider, at denne afgørelse er forenelig med de grundlæggende rettigheder, der er fastsat i chartret. Det fremgår af den nævnte doms præmis 65, at i det tilfælde, hvor denne myndighed finder, at de klagepunkter, som er fremsat i denne klage, er begrundede, skal denne myndighed i henhold til artikel 28, stk. 3, første afsnit, tredje led, i direktiv 95/46 (der svarer til databeskyttelsesforordningens artikel 58, stk. 5), sammenholdt med chartrets artikel 8, stk. 3, kunne anlægge sag. Den nationale lovgiver skal i denne forbindelse fastsætte retsmidler, der gør det muligt for den pågældende myndighed at gøre disse klagepunkter gældende for de nationale domstole, således at disse, såfremt de deler den nævnte myndigheds tvivl, kan foretage en præjudiciel forelæggelse om denne afgørelses gyldighed.

82. Jeg er i lighed med den forelæggende ret af den opfattelse, at disse konklusioner finder analog anvendelse, når en tilsynsmyndighed i forbindelse med behandlingen af en klage, der er indgivet til den, er i tvivl om, hvorvidt en afgørelse, såsom afgørelse 2010/87, der indfører standardkontraktbestemmelser for overførslen af personoplysninger til tredjelande – og ikke en afgørelse om tilstrækkeligheden af beskyttelsesniveauet – er gyldig. I modsætning til, hvad den tyske regering har anført, har det ingen betydning, om denne tvivl er sammenfaldende med de klagepunkter, som klageren har fremsat over for denne myndighed, eller at denne myndighed af egen drift rejser spørgsmålet om den pågældende afgørelses gyldighed. De krav, der følger af databeskyttelsesforordningens artikel 58, stk. 5, og chartrets artikel 8, stk. 3, som Domstolens begrundelse er baseret på, finder nemlig anvendelse uafhængigt af, hvilket retsgrundlag der ligger til grund for den overførsel, som er genstand for den klage, der er indgivet til tilsynsmyndigheden, og de grunde, der har givet denne myndighed anledning til i forbindelse med behandlingen af denne klage at nære tvivl om, hvorvidt den pågældende afgørelse er gyldig.

83. Når dette er sagt, skal det nævnes, at Commissioner har anmodet den forelæggende ret om at forelægge Domstolen et spørgsmål om gyldigheden af afgørelse 2010/87, idet Commissioner er af den opfattelse, at Domstolens præcisering på dette punkt er nødvendig for behandlingen af den klage, hvorved Maximillian Schrems har anmodet Commissioner om at udøve den beføjelse, som denne var tillagt i henhold til artikel 28, stk. 3, andet led, i direktiv 95/46 – og som denne instans nu er tillagt ved databeskyttelsesforordningens artikel 58, stk. 2, litra f) – til at suspendere overførslen af hans personoplysninger fra Facebook Ireland til Facebook Inc.

84. Tvisten i hovedsagen vedrører således udelukkende spørgsmålet om, hvorvidt afgørelse 2010/87 in abstracto er gyldig, men den underliggende procedure, der verserer for Commissioner, vedrører denne myndigheds udøvelse af beføjelsen til at vedtage korrigerende foranstaltninger i et konkret tilfælde. Jeg vil foreslå Domstolen kun at undersøge de forelagte spørgsmål i det omfang, det er nødvendigt, for at tage stilling til gyldigheden af afgørelse 2010/87, idet en sådan undersøgelse er tilstrækkelig til, at den forelæggende ret kan løse den tvist, der verserer for den (27).

85. Før der foretages en vurdering af denne afgørelses gyldighed, er det hensigtsmæssigt at forkaste en række indsigelser, der er fremsat mod realitetsbehandlingen af anmodningen om præjudiciel afgørelse.

B. Om formaliteten vedrørende den præjudicielle forelæggelse

86. Der er anført forskellige grunde til, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling, som hovedsageligt vedrører den omstændighed, at direktiv 95/46, der er nævnt i de præjudicielle spørgsmål, ikke finder tidsmæssig anvendelse (afsnit 1), den omstændighed, at proceduren for Commissioner ikke havde nået et stadie, der var tilstrækkeligt fremskredent til, at det kunne anses for hensigtsmæssigt at indgive en sådan anmodning (afsnit 2), og at den forelæggende rets beskrivelse af de faktiske omstændigheder er behæftet med usikkerheder (afsnit 3).

87. Jeg vil besvare disse formalitetsindsigelser, idet jeg henviser til formodningen for, at de spørgsmål, som Domstolen forelægges i henhold til artikel 267 TEUF, er relevante. Det fremgår af fast retspraksis, at Domstolen kun kan afslå at træffe afgørelse vedrørende en anmodning om præjudiciel afgørelse, såfremt det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål (28).

1. Om den tidsmæssige anvendelse af direktiv 95/46

88. Facebook Ireland har gjort gældende, at de præjudicielle spørgsmål ikke kan antages til realitetsbehandling, idet de henviser til direktiv 95/46, selv om dette direktiv er blevet ophævet og erstattet af databeskyttelsesforordningen med virkning fra den 25. maj 2018 (29).

89. Jeg er enig i synspunktet om, at gyldigheden af afgørelse 2010/87 skal undersøges i lyset af databeskyttelsesforordningens bestemmelser.

90. Denne forordnings artikel 94, stk. 2, bestemmer, at »[h]envisninger til det ophævede direktiv gælder som henvisninger til den [nævnte] forordning«. Det følger efter min opfattelse heraf, at afgørelse 2010/87, for så vidt som den som retsgrundlag nævner artikel 26, stk. 4, i direktiv 95/46, skal forstås som en henvisning til databeskyttelsesforordningens artikel 46, stk. 2, litra c), der i det væsentlige gengiver indholdet heraf (30). De gennemførelsesafgørelser, som Kommissionen før databeskyttelsesforordningens ikrafttræden vedtog i henhold til artikel 26, stk. 4, i direktiv 95/46, skal derfor fortolkes i lyset af denne forordning. Det er endvidere i lyset af den nævnte forordning, at gyldigheden af disse afgørelser i givet fald skal vurderes.

91. Der kan ikke drages tvivl om denne konklusion med henvisning til den retspraksis, hvorefter lovligheden af en EU-retsakt skal bedømmes på grundlag af de faktiske og retlige omstændigheder, der forelå på det tidspunkt, da retsakten blev udstedt. Denne retspraksis vedrører nemlig undersøgelsen af, om en EU-retsakt, henset til de relevante faktiske omstændigheder på tidspunktet, hvor retsakten blev vedtaget (31), eller de procedureregler, der regulerer vedtagelsen af en sådan retsakt (32), er gyldig. Domstolen har til gengæld gentagne gange undersøgt gyldigheden af afledte retsakter i lyset af de trinhøjere materielle regler, der er trådt i kraft efter vedtagelsen af disse retsakter (33).

92. Selv om angivelsen af en retsakt, der ikke længere finder tidsmæssig anvendelse, i de formuleringer, der anvendes i de præjudicielle spørgsmål, kan begrunde en ændret formulering af disse spørgsmål, kan den imidlertid ikke føre til, at disse spørgsmål ikke kan antages til realitetsbehandling (34). Som Commissioner og Maximillian Schrems har anført, kan henvisningen til direktiv 95/46 i ordlyden af de præjudicielle spørgsmål i øvrigt forklares ved det proceduremæssige tidsforløb i den foreliggende sag, idet disse spørgsmål blev forelagt Domstolen før databeskyttelsesforordningens ikrafttræden.

93. De bestemmelser i databeskyttelsesforordningen, der vil blive behandlet i forbindelse med analysen af de præjudicielle spørgsmål – dvs. navnlig denne forordnings artikel 45, 46 og 58 – udgør under alle omstændigheder, bortset fra visse nuancer, i det væsentlige en præciserende gengivelse af indholdet af artikel 25, 26 og 28 i direktiv 95/46. Hvad angår de forhold, der er relevante for at kunne tage stilling til, om afgørelse 2010/87 er gyldig, foreligger der efter min opfattelse ikke nogen grund til at tillægge disse bestemmelser i databeskyttelsesforordningen en anden rækkevidde end den, der er tillagt de tilsvarende bestemmelser i direktiv 95/46 (35).

2. Om den foreløbige karakter af den af Commissioner udtrykte tvivl

94. Den tyske regering har anført, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling som følge af, at den søgsmålsprocedure, der er nævnt i Schrems-dommens præmis 65, forudsætter, at tilsynsmyndigheden har dannet sig en endelig opfattelse af, om de klagepunkter, som sagsøgeren har fremsat vedrørende gyldigheden af den omhandlede afgørelse, er begrundede. Dette er ikke tilfældet i den foreliggende sag, for så vidt som Commissioner i et udkast til afgørelse, der blev fremsat foreløbigt, uden at dette berørte Facebook Irelands og Maximillian Schrems’ mulighed for eventuelt at fremsætte supplerende bemærkninger, tilkendegav sin tvivl med hensyn til gyldigheden af afgørelse 2010/87, hvilket Maximillian Schrems ikke har bestridt.

95. Den foreløbige karakter af den tvivl, som Commissioner gav udtryk for, har efter min opfattelse ikke betydning for, om den præjudicielle forelæggelse kan antages til realitetsbehandling. Kriterierne for, hvornår et præjudicielt spørgsmål skal antages til realitetsbehandling, skal nemlig vurderes i forhold til tvistens genstand, således som denne er defineret af den forelæggende ret (36). Det er imidlertid ubestridt, at tvisten vedrører spørgsmålet om, hvorvidt afgørelse 2010/87 er gyldig. Det fremgår af forelæggelsesafgørelsen og af den dom, der er vedlagt som bilag hertil, at denne ret er af den opfattelse, at den af Commissioner udtrykte tvivl – uanset om den har foreløbig eller endelig karakter – er begrundet, og at den derfor forelægger Domstolen et spørgsmål om denne afgørelses gyldighed. Domstolens præcisering på dette punkt er under disse omstændigheder uden tvivl relevant, for at den forelæggende ret kan løse den tvist, som er indbragt for den.

3. Om den usikkerhed, der er forbundet med fastlæggelsen af de faktiske omstændigheder

96. Det Forenede Kongeriges regering har anført, at de faktiske omstændigheder, som den forelæggende ret har beskrevet, er behæftet med en række ufuldstændigheder, der er til hinder for, at de præjudicielle spørgsmål kan antages til realitetsbehandling. Denne ret har ikke belyst, om Maximillian Schrems’ personoplysninger faktisk er blevet overført til USA, eller, såfremt dette måtte være tilfældet, om de amerikanske myndigheder har indsamlet disse oplysninger. Retsgrundlaget for disse overførsler er heller ikke blevet identificeret med sikkerhed, idet der i forelæggelsesafgørelsen kun henvises til, at oplysningerne om de europæiske brugere af det sociale netværk Facebook »for en stor dels vedkommende« er blevet overført på grundlag af de standardkontraktbestemmelser, der er fastsat i afgørelse 2010/87. Det er under alle omstændigheder ikke blevet godtgjort, at den aftale mellem Facebook Ireland og Facebook Inc., hvortil der er henvist til støtte for den omtvistede overførsel, udgør en loyal anvendelse af disse bestemmelser. Den tyske regering har endvidere bestridt, at den præjudicielle forelæggelse kan antages til realitetsbehandling, idet den forelæggende ret ikke har undersøgt, om Maximillian Schrems utvivlsomt har givet samtykke til de omhandlede overførsler, i hvilket tilfælde disse overførsler gyldigt kan baseres på artikel 26, stk. 1, i direktiv 95/46, som databeskyttelsesforordningens artikel 49, stk. 1, litra a), i det væsentlige gengiver indholdet af.

97. Disse argumenter kan ikke på nogen måde rejse tvivl om, at den præjudicielle forelæggelse er relevant for genstanden for tvisten i hovedsagen. Eftersom denne tvist udspringer af, at Commissioner har udøvet det retsmiddel, der er fastsat i Schrems-dommens præmis 65, har den som sådan til formål at opnå, at den nationale ret forelægger en anmodning om præjudiciel afgørelse vedrørende gyldigheden af afgørelse 2010/87. Den tyske og Det Forenede Kongeriges regering har i realiteten ikke bestridt, at de præjudicielle spørgsmål er nødvendige for at afgøre, om denne afgørelse er gyldig, men at de er nødvendige for at sætte Commissioner i stand til in concreto at tage stilling til Maximillian Schrems’ klage.

98. Selv i betragtning af denne for tvisten i hovedsagen underliggende procedure, er de præjudicielle spørgsmål, der vedrører gyldigheden af afgørelse 2010/87, efter min opfattelse under alle omstændigheder ikke irrelevante. Den forelæggende ret har nemlig anført, at Facebook Ireland fortsatte overførslen af oplysninger om sine brugere til USA, efter at »safe harbor«-beslutningen var blevet erklæret ugyldig, og at disse overførsler i det mindste delvist var baserede på afgørelsen 2010/87. Selv om det kan være hensigtsmæssigt, at samtlige faktiske omstændigheder er fastlagt, før den forelæggende ret udøver sin kompetence i henhold til artikel 267 TEUF, tilkommer det endvidere udelukkende denne ret at vurdere, på hvilket trin i proceduren den har behov for en præjudiciel afgørelse fra Domstolen (37).

99. På baggrund af samtlige de ovenfor anførte betragtninger er det min opfattelse, at anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling.

100. Den forelæggende ret ønsker med det første spørgsmål oplyst, om EU-retten finder anvendelse på en overførsel af personoplysninger, som et selskab, der er beliggende i en medlemsstat, af forretningsmæssige grunde foretager, til et selskab, der er hjemmehørende i et tredjeland, når de offentlige myndigheder i dette tredjeland af hensyn til den nationale sikkerhed kan foretage behandling af oplysningerne, efter at overførslen er påbegyndt.

101. Det centrale i dette spørgsmål for løsningen af tvisten i hovedsagen udspringer af den omstændighed, at hvis en sådan overførsel er omfattet af anvendelsesområdet for EU-retten, vil samtlige de indsigelser, der er fremsat om gyldigheden af afgørelse 2010/87 i den foreliggende sag, savne grundlag.

102. Som den forelæggende ret har anført, var behandlinger af personoplysninger, der vedrører den nationale sikkerhed, i henhold til artikel 3, stk. 2, i direktiv 95/46 ikke omfattet af anvendelsesområdet for dette direktiv. Det er nu præciseret i databeskyttelsesforordningens artikel 2, stk. 2, at denne forordning ikke gælder for behandling af personoplysninger bl.a. under udøvelse af aktiviteter, der falder uden for EU-retten, eller som foretages af kompetente myndigheder med henblik på at beskytte den offentlige sikkerhed. Disse bestemmelser afspejler det kompetenceforbehold, som medlemsstaterne i henhold til artikel 4, stk. 2, TEU er tillagt på området for beskyttelse af den nationale sikkerhed.

103. Commissioner, Maximillian Schrems, Irland, den tyske, den østrigske, den belgiske, den tjekkiske, den nederlandske, den polske og den portugisiske regering, samt Parlamentet og Kommissionen har anført, at overførsler som dem, der er omhandlet i Maximillian Schrems’ klage, ikke er omfattet af disse bestemmelser, og at sådanne overførsler derfor er omfattet af anvendelsesområdet for EU-retten. Facebook Ireland har argumenteret for det modsatte synspunkt. Jeg tilslutter mig de førstnævntes opfattelse.

104. Det er i denne forbindelse vigtigt at nævne, at overførslen af personoplysninger fra en medlemsstat til et tredjeland som sådan udgør en »behandling« i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 4, nr. 2), der foretages på en medlemsstats område (38). Det første præjudicielle spørgsmål har netop til formål at afgøre, om EU-retten finder anvendelse på den behandling, der udgøres af selve overførslen. Dette spørgsmål vedrører ikke spørgsmålet om, hvorvidt EU-retten finder anvendelse på de behandlinger, som de amerikanske myndigheder af hensyn til den nationale sikkerhed eventuelt senere foretager af de oplysninger, der overføres til USA, og som ikke er omfattet af det territoriale anvendelsesområde for databeskyttelsesforordningen (39).

105. Ud fra dette synspunkt skal der med henblik på at afgøre, om EU-retten finder anvendelse på den omhandlede overførsel, kun tages hensyn til den aktivitet, som denne overførsel indgår som en del af, uden at formålet med de behandlinger, som de offentlige myndigheder i bestemmelsestredjelandet eventuelt senere måtte foretage af de overførte oplysninger, tillægges betydning (40).

106. Det fremgår imidlertid af forelæggelsesafgørelsen, at den overførsel, der er genstand for Maximillian Schrems’ klage, indgår som led i en forretningsmæssig aktivitet. Denne overførsel foretages i øvrigt ikke med det formål at gøre det muligt for de amerikanske myndigheder af hensyn til den nationale sikkerhed at foretage en senere behandling af de omhandlede oplysninger.

107. Den tilgang, som Facebook Ireland har foreslået, vil i øvrigt fratage de bestemmelser i databeskyttelsesforordningen, der vedrører overførsler til tredjelande, deres effektive virkning, idet det ikke på noget tidspunkt kan udelukkes, at de oplysninger, der overføres som led i en forretningsmæssig aktivitet, efter overførslen vil blive undergivet behandling af hensyn til den nationale sikkerhed.

108. Den fortolkning, som jeg foreslår, bekræftes af ordlyden af databeskyttelsesforordningens artikel 45, stk. 2, litra a). Det fremgår af denne bestemmelse, at Kommissionen, når den træffer en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, skal tage hensyn til bl.a. lovgivningen vedrørende national sikkerhed i det pågældende tredjeland. Det kan heraf udledes, at muligheden for, at myndighederne i bestemmelsestredjelandet undergiver disse oplysninger en behandling, der har til formål at beskytte den nationale sikkerhed, ikke indebærer, at EU-retten ikke finder anvendelse på den behandling, der består i at overføre oplysningerne til dette tredjeland.

109. Domstolens argumentation og konklusioner i Schrems-dommen er endvidere baseret på denne forudsætning. Domstolen undersøgte i denne dom bl.a., om »safe harbor«-beslutningen i henhold til artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartret, var gyldig, for så vidt som den vedrørte overførsler af personoplysninger til USA, hvor de kunne blive indsamlet og behandlet med henblik på at beskytte den nationale sikkerhed (41).

110. På baggrund af disse betragtninger er det min opfattelse, at EU-retten finder anvendelse på en overførsel af personoplysninger fra en medlemsstat til et tredjeland, når denne overførsel foretages som led i en forretningsmæssig aktivitet, idet det ikke er relevant, om der består en risiko for, at de offentlige myndigheder i dette tredjeland vil undergive de overførte oplysninger behandlinger, der har til formål at beskytte den nationale sikkerhed.

D. Om det krævede beskyttelsesniveau i forbindelse med en overførsel på grundlag af standardkontraktbestemmelserne (første del af det sjette spørgsmål)

111. Den forelæggende ret ønsker med første del af det sjette spørgsmål oplyst, hvilket niveau for beskyttelse af de registreredes grundlæggende rettigheder, der skal sikres for, at personoplysningerne kan overføres til et tredjeland i henhold til de standardkontraktbestemmelser, der er fastsat i afgørelse 2010/87.

112. Denne ret har anført, at Domstolen i Schrems-dommen fortolkede artikel 25, stk. 6, i direktiv 95/46 (hvis indhold i det væsentlige er gentaget i databeskyttelsesforordningens artikel 45, stk. 3), for så vidt som denne bestemmelse foreskrev, at Kommissionen kun kunne træffe en afgørelse om tilstrækkeligheden af beskyttelsesniveauet efter at have sikret sig, at det pågældende tredjeland sikrede et tilstrækkeligt beskyttelsesniveau, således at den forudsatte, at Kommissionen skulle godtgøre, at dette land sikrede et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarede til det niveau, der er sikret inden for Unionen i medfør af dette direktiv, sammenholdt med chartret (42).

113. Domstolen anmodes i denne forbindelse med første del af det sjette præjudicielle spørgsmål om at fastslå, om anvendelsen af de »standardkontraktbestemmelser«, som Kommissionen har vedtaget i henhold til artikel 26, stk. 4, i direktiv 95/46 – som svarer til de »standardbestemmelser om beskyttelse«, der nu er nævnt i databeskyttelsesforordningens artikel 46, stk. 2, litra c) – skal gøre det muligt at nå et beskyttelsesniveau, der svarer til den samme standard for »væsentlig overensstemmelse«.

114. Det fremgår i denne forbindelse af databeskyttelsesforordningens artikel 46, stk. 1, at hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, må en dataansvarlig kun overføre personoplysninger til et tredjeland, »hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige« (min fremhævelse) (43). Det fremgår af databeskyttelsesforordningens artikel 46, stk. 2, litra c), at disse garantier bl.a. kan følge af de »standardbestemmelser om beskyttelse«, som Kommissionen har udfærdiget.

115. Jeg er i lighed med Commissioner, Maximillian Schrems og Irland af den opfattelse, at de »fornødne garantier«, som stilles af den dataansvarlige, og hvortil der er henvist i databeskyttelsesforordningens artikel 46, stk. 1, skal sikre, at der for de rettigheder, som tilkommer de personer, som de overførte oplysninger vedrører, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der følger af databeskyttelsesforordningen, sammenholdt med chartret, således som det er tilfældet for en overførsel, der foretages på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

116. Denne konklusion følger af formålet med denne bestemmelse og med den retsakt, som den indgår i.

117. Databeskyttelsesforordningens artikel 45 og 46 har til formål at sikre opretholdelsen af det beskyttelsesniveau for personoplysninger, der er sikret ved denne forordning, når de overføres uden for Unionen. Databeskyttelsesforordningens artikel 44, der har overskriften »Generelt princip for overførsler«, indleder nemlig kapitel V om overførsler til tredjelande ved at anføre, at alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som garanteres i medfør af databeskyttelsesforordningen, ikke undermineres, når der foretages overførsel til en tredjestat (44). Denne regel har til formål at undgå, at de beskyttelsesstandarder, der følger af EU-retten, kan omgås ved at overføre personoplysninger med henblik på behandling til et tredjeland (45). Hvad angår dette formål er det uden betydning, om overførslen er baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller på de garantier, som den dataansvarlige giver, bl.a. ved hjælp af kontraktbestemmelser. Der sondres ikke mellem de krav til beskyttelse af de grundlæggende rettigheder, der er sikret ved chartret, afhængigt af, hvilket retsgrundlag en bestemt overførsel er baseret på (46).

118. Den måde, hvorpå opretholdelsen af et højt beskyttelsesniveau sikres, er til gengæld forskellig afhængigt af, hvilket retsgrundlag der ligger til grund for overførslen.

119. For det første har en afgørelse om tilstrækkeligheden af beskyttelsesniveauet til formål at fastslå, at det pågældende tredjeland selv sikrer et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der skal være nået i Unionen. Vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet forudsætter, at Kommissionen i forhold til et bestemt tredjeland på forhånd foretager en vurdering af det beskyttelsesniveau, der er sikret ved dette tredjelands lovgivning og praksis, i lyset af de elementer, der er nævnt i databeskyttelsesforordningens artikel 45, stk. 3. Personoplysningerne kan i dette tilfælde overføres til det nævnte tredjeland, uden at den dataansvarlige skal indhente en specifik tilladelse.

120. For det andet, som der mere detaljeret redegøres for i det følgende afsnit, har de fornødne garantier, som den dataansvarlige giver, til formål at sikre et højt beskyttelsesniveau i tilfælde af, at de garantier, der er tilgængelige i bestemmelsestredjelandet, ikke er tilstrækkelige. Selv om databeskyttelsesforordningens artikel 46, stk. 1, gør det muligt at overføre personoplysninger til tredjestater, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, giver denne bestemmelse således kun mulighed for at foretage sådanne overførsler, når de fornødne garantier tilvejebringes ved andre midler. De standardkontraktbestemmelser, som Kommissionen har vedtaget, udgør i denne forbindelse en generel mekanisme, der finder anvendelse på overførsler, uanset hvilket bestemmelsestredjeland der er tale om, og uanset hvilket beskyttelsesniveau der er sikret i dette tredjeland.

E. Hvorvidt afgørelse 2010/87 er gyldig i lyset af chartrets artikel 7, 8 og 47 (det syvende, det ottende og det ellevte spørgsmål)

121. Den forelæggende ret ønsker med det syvende spørgsmål nærmere bestemt oplyst, om afgørelse 2010/87 er ugyldig som følge af den omstændighed, at den ikke er bindende for myndighederne i de tredjestater, som oplysningerne overføres til i henhold til de standardkontraktbestemmelser, der er fastsat i bilaget til denne afgørelse, og navnlig som følge af, at den ikke forhindrer disse myndigheder i at kræve, at importøren stiller disse oplysninger til deres rådighed. Dette spørgsmål rejser således tvivl om selve muligheden for at sikre et tilstrækkeligt beskyttelsesniveau for sådanne oplysninger ved hjælp af mekanismer, der udelukkende har kontraktlig karakter. Det 11. spørgsmål vedrører mere overordnet gyldigheden af afgørelse 2010/87 i lyset af chartrets artikel 7, 8 og 47.

122. Med det ottende spørgsmål opfordres Domstolen til at fastslå, om en tilsynsmyndighed har pligt til at anvende de beføjelser, som den er tillagt ved databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), til at suspendere en overførsel til et tredjeland, der er baseret på de standardkontraktbestemmelser, der er fastsat i afgørelse 2010/87, når denne myndighed er af den opfattelse, at dataimportøren i dette tredjeland er underlagt forpligtelser, der er til hinder for, at han opfylder disse bestemmelser, og indebærer, at der ikke er sikret den fornødne beskyttelse af de overførte oplysninger. For så vidt som besvarelsen af dette spørgsmål efter min opfattelse har betydning for gyldigheden af afgørelse 2010/87 (47), vil jeg behandle det sammen med det syvende og det ellevte spørgsmål.

123. For så vidt som databeskyttelsesforordningens artikel 46, stk. 1, bestemmer, at »[h]vis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland […] hvis vedkommende har givet de fornødne garantier […]« (min fremhævelse), er denne bestemmelses ordlyd udtryk for den logik, der ligger til grund for de kontraktlige mekanismer såsom den, der er fastsat i afgørelse 2010/87. Som det fremgår af 108. og 114. betragtning til databeskyttelsesforordningen, har disse mekanismer til formål at gøre det muligt at overføre oplysninger til tredjelande, i forhold til hvilke Kommissionen ikke har truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, idet de eventuelle mangler ved den beskyttelse, der er sikret i dette lands retsorden, således afhjælpes ved de garantier, som dataeksportøren og dataimportøren kontraktligt har forpligtet sig til at overholde.

124. Eftersom selve formålet med de kontraktlige garantier netop består i at afhjælpe de eventuelle mangler ved den beskyttelse, der indrømmes i bestemmelsestredjelandene, uanset hvilke lande der er tale om, afhænger spørgsmålet om, hvorvidt en afgørelse, hvorved Kommissionen konstaterer, at visse standardbestemmelser på tilstrækkelig vis afhjælper disse mangler, er gyldig, ikke af det beskyttelsesniveau, der er sikret i hvert enkelt af de tredjelande, som oplysningerne kan overføres til. Gyldigheden af en sådan afgørelse afhænger udelukkende af styrken af de garantier, som er fastsat ved disse bestemmelser, med henblik på at afhjælpe de eventuelle mangler ved beskyttelsen i bestemmelsestredjelandet. Spørgsmålet om, hvorvidt disse garantier er effektive, skal desuden vurderes under hensyn til den sikkerhedsmekanisme, der udgøres af de beføjelser, som tilsynsmyndighederne har i henhold til databeskyttelsesforordningens artikel 58, stk. 2.

125. Som Commissioner, Maximillian Schrems, BSA, Irland, den østrigske, den franske, den polske og den portugisiske regering samt Kommissionen i denne henseende i det væsentlige har anført, kan de garantier, der er indeholdt i standardkontraktbestemmelserne, begrænses eller endog ophæves, når lovgivningen i bestemmelsestredjelandet pålægger importøren forpligtelser, der er i strid med, hvad disse bestemmelser kræver. Den retlige sammenhæng, der kendetegner bestemmelsestredjelandet, kan, afhængigt af de konkrete omstændigheder ved overførslen (48), således gøre det umuligt at opfylde de forpligtelser, der er fastsat i disse bestemmelser.

126. Som Maximillian Schrems og Kommissionen har anført, forudsætter den kontraktmekanisme, der er fastsat i databeskyttelsesforordningens artikel 46, stk. 2, litra c), under disse omstændigheder, at ansvaret placeres hos eksportøren og subsidiært tilsynsmyndighederne. Det er den dataansvarlige eller, såfremt en sådan ikke findes, tilsynsmyndigheden, der i hvert enkelt tilfælde, for hver enkelt konkrete overførsel skal undersøge, om lovgivningen i bestemmelsestredjelandet er til hinder for, at standardbestemmelserne kan opfyldes, og at de overførte oplysninger dermed kan undergives en tilstrækkelig beskyttelse, således at overførslerne skal forbydes eller suspenderes.

127. Henset til disse betragtninger er det min opfattelse, at den omstændighed, at afgørelse 2010/87 og de standardkontraktbestemmelser, som er fastsat deri, ikke er bindende for myndighederne i bestemmelsestredjelandet, ikke i sig selv indebærer, at denne afgørelse er ugyldig. Spørgsmålet om, hvorvidt afgørelse 2010/87 er forenelig med chartrets artikel 7, 8 og 47, afhænger efter min opfattelse af, om der findes tilstrækkeligt stærke mekanismer, der gør det muligt at sikre, at de overførsler, der foretages på grundlag af standardkontraktbestemmelserne, suspenderes eller forbydes, såfremt disse bestemmelser tilsidesættes, eller såfremt det ikke er muligt at opfylde dem.

128. Det fremgår i denne forbindelse af databeskyttelsesforordningens artikel 46, stk. 1, at en overførsel, der er baseret på de fornødne garantier, kun kan foretages »på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige«. Det skal undersøges, om de garantier, der er fastsat i de bestemmelser, der fremgår af bilaget til afgørelse 2010/87, og som suppleres af tilsynsmyndighedernes beføjelser, gør det muligt at sikre overholdelsen af denne betingelse. Dette er efter min opfattelse kun tilfældet, for så vidt som der består en forpligtelse – der påhviler de dataansvarlige (afsnit 1) og i tilfælde af, at disse udviser passivitet, tilsynsmyndighederne (afsnit 2) – til at suspendere eller forbyde en overførsel, når det som følge af en konflikt mellem de forpligtelser, der følger af standardbestemmelserne, og de forpligtelser, der følger af lovgivningen i bestemmelsestredjelandet, ikke er muligt at overholde disse bestemmelser.

1. Om de forpligtelser, der påhviler de dataansvarlige

129. For det første kræver de standardkontraktbestemmelser, der fremgår af bilaget til afgørelse 2010/87, at disse bestemmelser i tilfælde af, at der foreligger en konflikt mellem de forpligtelser, som de fastsætter, og de regler, der følger af lovgivningen i bestemmelsestredjelandet, ikke kan påberåbes som grundlag for en overførsel til dette tredjeland eller, såfremt overførslen allerede er blevet iværksat på grundlag af de nævnte bestemmelser, at eksportøren underrettes om denne konflikt og har mulighed for at suspendere denne overførsel.

130. Som det fremgår af standardbestemmelse 5, litra a), forpligter importøren sig således til at behandle de overførte personoplysninger udelukkende på eksportørens vegne og i overensstemmelse med dennes instrukser og standardkontraktbestemmelserne. Såfremt importøren ikke er i stand til at sikre overensstemmelse med disse bestemmelser, indvilliger den pågældende i straks at underrette eksportøren herom, hvorefter eksportøren i så fald har ret til at suspendere overførslen og/eller ophæve kontrakten (49).

131. Det præciseres i fodnote 5, der vedrører standardbestemmelse 5, at standardbestemmelserne ikke tilsidesættes, når importøren efterkommer de obligatoriske krav i den nationale lovgivning, der finder anvendelse på den pågældende i tredjelandet, for så vidt som disse krav ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund for at beskytte en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46 (hvis indhold i det væsentlige er gentaget i databeskyttelsesforordningens artikel 23, stk. 1), og som bl.a. omfatter den offentlige sikkerhed og statens sikkerhed. Såfremt disse bestemmelser tilsidesættes for at sikre overensstemmelse med en modsatrettet forpligtelse, der udspringer af lovgivningen i bestemmelsestredjelandet, og som er mere vidtgående, end hvad der er forholdsmæssigt i forhold til at sikre beskyttelsen af en legitim interesse, der anerkendes af Unionen, anses dette for en tilsidesættelse af de nævnte bestemmelser.

132. Som Maximillian Schrems og Kommissionen har anført, skal standardbestemmelse 5, litra a), efter min opfattelse ikke fortolkes således, at det kun er frivilligt at suspendere overførslen eller at ophæve kontrakten, når importøren ikke er i stand til at overholde standardbestemmelserne. Selv om det af denne bestemmelse kun fremgår, at en sådan ret tilkommer eksportøren, skal denne ordlyd fortolkes med henvisning til den kontraktmæssige sammenhæng, som den indgår i. Den omstændighed, at eksportøren er tillagt en ret til i det bilaterale forhold til importøren at suspendere overførslen eller at ophæve kontrakten, når importøren ikke er i stand til at opfylde standardbestemmelserne, berører ikke den forpligtelse, der påhviler eksportøren, til som følge af de krav til beskyttelse af de registreredes rettigheder, der følger af databeskyttelsesforordningen, at foretage dette skridt. Enhver anden fortolkning ville indebære, at afgørelse 2010/87 er ugyldig, for så vidt som de standardkontraktbestemmelser, der er fastsat deri, ikke ville gøre det muligt at opstille de »fornødne garantier« for overførslen, således som det kræves i henhold til databeskyttelsesforordningens artikel 46, stk. 1, sammenholdt med chartrets bestemmelser (50).

133. Det fremgår endvidere af standardbestemmelse 5, litra b), at importøren skal bekræfte, at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra eksportøren, og overholde sine forpligtelser i henhold til kontrakten. Såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der fremgår af standardbestemmelserne, skal han straks give eksportøren meddelelse om ændringen, hvorefter eksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten. Det fremgår af standardbestemmelse 4, litra g), at eksportøren skal sende den meddelelse, som han modtager fra importøren, videre til den kompetente tilsynsmyndighed, hvis han beslutter at fortsætte overførslen.

134. Det er efter min opfattelse nødvendigt her at foretage visse præciseringer vedrørende indholdet af den undersøgelse, som aftaleparterne skal foretage for at konstatere, således som det fremgår af fodnoten vedrørende standardbestemmelse 5, om de forpligtelser, som lovgivningen i tredjestaten pålægger importøren, indebærer en tilsidesættelse af standardbestemmelserne og dermed er til hinder for, at overførslen er omfattet af de fornødne garantier. Denne problemstilling er i det væsentlige blevet rejst inden for rammerne af den anden del af det sjette præjudicielle spørgsmål.

135. En sådan undersøgelse indebærer efter min opfattelse, at der skal tages hensyn til alle de omstændigheder, der kendetegner hver enkelt overførsel, hvilket bl.a. kan omfatte oplysningernes art og deres eventuelle følsomme karakter, de mekanismer, som eksportøren og/eller importøren anvender for at garantere sikkerheden (51), arten af og formålet med de behandlinger, som de offentlige myndigheder i tredjelandet gør oplysningerne til genstand for, fremgangsmåden for disse behandlinger og de begrænsninger og garantier, som dette tredjeland giver. De elementer, der kendetegner de offentlige myndigheders behandlingsaktiviteter og de garantier, der finder anvendelse i retsordenen i det nævnte tredjeland, er efter min opfattelse indeholdt i de elementer, der er nævnt i databeskyttelsesforordningens artikel 45, stk. 2.

136. For det andet er de registrerede ved de standardkontraktbestemmelser, der er nævnt i bilaget til afgørelse 2010/87, tillagt rettigheder, der kan håndhæves, og retsmidler over for eksportøren og subsidiært importøren.

137. Standardbestemmelse 3, der har overskriften »Tredjemandsløfte«, bestemmer i stk. 1, at den registrerede skal have adgang til et retsmiddel over for eksportøren i tilfælde af, at bl.a. standardbestemmelse 5, litra a) eller b), tilsidesættes. Det fremgår af standardbestemmelse 3, stk. 2, at når eksportøren faktisk er ophørt eller retligt set er ophørt med at eksistere, kan den registrerede håndhæve denne bestemmelse over for importøren.

138. Enhver registreret, der har lidt skade som følge af en overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3, har i medfør af standardbestemmelse 6, stk. 1, ret til erstatning fra eksportøren af den lidte skade. I henhold til standardbestemmelse 7, stk. 1, skal importøren, hvis den registrerede gør tredjemandsløftet gældende over for importøren og/eller kræver erstatning af den lidte skade, acceptere den registreredes beslutning om at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden, eller at henvise sagen til domstolene i den medlemsstat, hvor eksportøren er etableret.

139. Ud over de retsmidler, som de registrerede har adgang til i medfør af de standardkontraktbestemmelser, der er fastsat i bilaget til afgørelse 2010/87, kan de registrerede, såfremt de måtte være af den opfattelse, at disse bestemmelser er blevet tilsidesat, anmode tilsynsmyndighederne om at træffe korrigerende foranstaltninger i henhold til databeskyttelsesforordningens artikel 58, stk. 2, hvortil der er henvist i artikel 4 i afgørelse 2010/87 (52).

2. Om de forpligtelser, der påhviler tilsynsmyndighederne

140. De følgende grunde fører mig i lighed med Maximillian Schrems, Irland, den tyske, den østrigske, den belgiske, den nederlandske og den portugisiske regering samt EDPB til at anlægge det synspunkt, at databeskyttelsesforordningens artikel 58, stk. 2, indebærer en pligt for tilsynsmyndighederne til, når de efter at have gennemført en grundig undersøgelse er af den opfattelse, at de oplysninger, der er blevet overført til et tredjeland, ikke er omfattet af den fornødne beskyttelse som følge af, at de aftalte kontraktbestemmelser ikke er blevet overholdt, at træffe de tilstrækkelige foranstaltninger, der er nødvendige for at afhjælpe denne ulovlighed, og i givet fald ved at træffe beslutning om at suspendere overførslen.

141. For det første vil jeg nævne, at bestemmelserne i afgørelse 2010/87 i modsætning til, hvad Commissioner har hævdet, ikke på nogen måde begrænser udøvelsen af de beføjelser til »midlertidigt eller definitivt at begrænse, herunder forbyde, behandling« og til »at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland«, som tilsynsmyndighederne har i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), til særlige tilfælde.

142. Den oprindelige version af artikel 4, stk. 1, i afgørelse 2010/87 begrænsede ganske vist tilsynsmyndighedernes mulighed for at udøve deres beføjelse til at suspendere eller forbyde grænseoverskridende datastrømme til visse tilfælde, hvor det kunne konstateres, at en overførsel på grundlag af kontraktbestemmelserne kunne forventes at få en betydelig negativ virkning på de garantier, der havde til formål at beskytte den registrerede. Denne afgørelses artikel 4 med de ændringer, som Kommissionen vedtog i 2016 for at efterkomme Schrems-dommen (53), indeholder imidlertid nu kun en henvisning til disse beføjelser uden nogen form for begrænsning heraf. En gennemførelsesafgørelse fra Kommissionen, såsom afgørelse 2010/87, kan under alle omstændigheder ikke lovligt begrænse de beføjelser, som tilsynsmyndighederne er tillagt ved selve databeskyttelsesforordningen (54).

143. Denne konklusion kan ikke drages i tvivl ved 11. betragtning til afgørelse 2010/87, hvoraf fremgår, at tilsynsmyndighederne kun kan udøve beføjelsen til at suspendere eller forbyde overførsler i »særlige tilfælde«. Denne betragtning, der allerede fremgik af den oprindelige version af denne afgørelse, vedrører den tidligere artikel 4, stk. 1, i den nævnte afgørelse, som begrænsede tilsynsmyndighedernes beføjelser. I forbindelse med den ændring af afgørelse 2010/87, der blev gennemført ved afgørelse 2016/2297, undlod Kommissionen at udelade eller ændre den nævnte betragtning med henblik på at tilpasse indholdet til kravene i den nye artikel 4. I femte betragtning til afgørelse 2016/2297 bekræftes det imidlertid, at tilsynsmyndighederne har beføjelse til at suspendere eller forbyde enhver overførsel, som efter deres opfattelse er i strid med EU-retten, navnlig som følge af, at importøren ikke overholder standardkontraktbestemmelserne. Eftersom 11. betragtning til afgørelse 2010/87 nu er i strid med såvel ordlyden af som formålet med en retligt bindende bestemmelse i denne afgørelse, skal den anses for forældet (55).

144. For det andet udgør udøvelsen af den beføjelse til at træffe afgørelse om suspension eller forbud, der er fastsat i databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), i modsætning til, hvad Commissioner videre har anført, heller ikke en simpel mulighed, som er overladt til tilsynsmyndighedernes skøn. Denne konklusion følger efter min opfattelse af en fortolkning af databeskyttelsesforordningens artikel 58, stk. 2, sammenholdt med andre bestemmelser i denne forordning og i chartret, samt af den generelle opbygning af og formålene med afgørelse 2010/87.

145. Databeskyttelsesforordningens artikel 58, stk. 2, skal navnlig sammenholdes med chartrets artikel 8, stk. 3, og artikel 16, stk. 2, TEUF. Overholdelsen af de krav, der følger af den grundlæggende ret til beskyttelse af personoplysninger, kontrolleres i overensstemmelse med disse bestemmelser af uafhængige myndigheder. Denne opgave, der består i at føre tilsyn med overholdelsen af kravene til beskyttelse af personoplysninger, og som endvidere er nævnt i databeskyttelsesforordningens artikel 57, stk. 1, litra a), pålægger tilsynsmyndighederne en pligt til at handle med henblik på at sikre den korrekte anvendelse af denne forordning.

146. En tilsynsmyndighed skal således med den fornødne omhu undersøge den klage, der indgives af en person, hvis oplysninger angiveligt er blevet overført til en tredjestat i strid med de standardkontraktbestemmelser, der finder anvendelse på overførslen (56). Databeskyttelsesforordningens artikel 58, stk. 1, tillægger i denne henseende tilsynsmyndighederne væsentlige undersøgelsesbeføjelser (57).

147. Den kompetente tilsynsmyndighed har endvidere pligt til at reagere på en passende vis på de eventuelle krænkelser af den registreredes rettigheder, som den måtte have konstateret i forbindelse med sin undersøgelse. Hver tilsynsmyndighed har i denne forbindelse i henhold til databeskyttelsesforordningens artikel 58, stk. 2, en lang række midler – de forskellige beføjelser til at vedtage korrigerende foranstaltninger, der er nævnt i denne bestemmelse – med henblik på at udføre den opgave, som påhviler den (58).

148. Selv om valget af det mest effektive middel henhører under det skøn, som den kompetente tilsynsmyndighed skal udøve under hensyn til samtlige de omstændigheder, der kendetegner den pågældende overførsel, har denne myndighed pligt til fuldt ud at udføre den tilsynsopgave, som den er blevet tillagt. Denne myndighed skal i givet fald suspendere overførslen, såfremt den måtte konstatere, at standardkontraktbestemmelserne ikke er overholdt, og at det ikke er muligt at sikre den fornødne beskyttelse af de overførte oplysninger ved andre midler, medmindre eksportøren selv har bragt overførslen til ophør.

149. Denne fortolkning bekræftes af databeskyttelsesforordningens artikel 58, stk. 4, der foreskriver, at udøvelse af de beføjelser, der tillægges tilsynsmyndighederne i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler i overensstemmelse med chartrets artikel 47. Ifølge databeskyttelsesforordningens artikel 78, stk. 1 og 2, har enhver i øvrigt ret til effektive retsmidler over for en juridisk bindende afgørelse, som en tilsynsmyndighed har truffet vedrørende vedkommende, eller hvis denne myndighed undlader at behandle den pågældendes klage (59).

150. Disse bestemmelser indebærer, som Maximillian Schrems, BSA, Irland, den polske og Det Forenede Kongeriges regering samt Kommissionen i det væsentlige har anført, at en afgørelse, hvorved en tilsynsmyndighed efter at have modtaget en anmodning fra en person, der gør gældende, at der består en risiko for, at oplysninger om den pågældende vil blive behandlet i strid med vedkommendes grundlæggende rettigheder, undlader at forbyde eller suspendere en overførsel til et tredjeland, kan gøres til genstand for en retslig prøvelse. Anerkendelsen af retten til adgang til retsmidler forudsætter imidlertid, at tilsynsmyndighederne har en bunden, og ikke en rent skønsmæssig, kompetence. Maximillian Schrems og Kommissionen har endvidere med føje anført, at udøvelsen af en effektiv domstolsprøvelse kræver, at den myndighed, der har truffet den anfægtede afgørelse, har givet en tilstrækkelig begrundelse herfor (60). Denne begrundelsespligt udstrækker sig efter min opfattelse til det valg, som tilsynsmyndighederne foretager, om at gøre brug af en af de beføjelser, som de er tillagt ved databeskyttelsesforordningens artikel 58, stk. 2.

151. Det står imidlertid tilbage at besvare det af Commissioner anførte argument om, at selv om tilsynsmyndighederne har pligt til at suspendere eller forbyde en overførsel, når dette er påkrævet af hensyn til beskyttelsen den registreredes rettigheder, er det ikke desto mindre ikke sikkert, at afgørelse 2010/87 er gyldig.

152. For det første er Commissioner af den opfattelse, at en sådan forpligtelse ikke vil afhjælpe de systemiske problemer, der skyldes manglen på tilstrækkelige garantier i et tredjeland som USA. Tilsynsmyndighedernes beføjelser kan nemlig kun udøves konkret, selv om de mangler, der kendetegner amerikansk ret, har en generel og strukturel karakter. Der består derfor en risiko for, at forskellige tilsynsmyndigheder vil træffe forskellige afgørelser vedrørende tilsvarende overførsler.

153. Jeg kan i denne forbindelse ikke se bort fra de praktiske vanskeligheder, der er forbundet med det lovgivningsmæssige valg om at pålægge tilsynsmyndighederne ansvaret for at sikre, at de registreredes grundlæggende rettigheder overholdes i forbindelse med konkrete overførsler eller overførsler til en bestemt modtager. Disse vanskeligheder kan imidlertid efter min opfattelse ikke føre til, at afgørelse 2010/87 er ugyldig.

154. EU-retten synes efter min opfattelse nemlig ikke at kræve, at der skal findes en overordnet og forebyggende løsning for alle de overførsler til et bestemt tredjeland, der kan medføre de samme risici for krænkelse af de grundlæggende rettigheder.

155. Risikoen for, at de forskellige tilsynsmyndigheder følger en uensartet tilgang, er endvidere uløseligt forbundet med den decentraliserede overvågningsstruktur, som lovgiver har ønsket (61). Som den tyske regering har anført, er der i databeskyttelsesforordningens kapitel VII, der har overskriften »Samarbejde og sammenhæng«, i øvrigt indført mekanismer, der har til formål at undgå denne risiko. Denne forordnings artikel 60 fastsætter for så vidt angår de situationer, hvor der sker grænseoverskridende behandlinger af oplysninger, en procedure for samarbejde mellem de berørte tilsynsmyndigheder og den tilsynsmyndighed, der fører tilsyn med den dataansvarlige, nemlig den såkaldte »ledende tilsynsmyndighed« (62). Såfremt der måtte foreligge forskellige opfattelser, tager EDPB stilling til uenigheden (63). EDPB har endvidere beføjelse til efter anmodning fra en tilsynsmyndighed at udfærdige en udtalelse om ethvert spørgsmål, der måtte være af interesse for flere medlemsstater (64).

156. For det andet har Commissioner gjort gældende, at afgørelse 2010/87 er ugyldig i henhold til chartrets artikel 47, idet tilsynsmyndighederne kun har mulighed for at beskytte de registreredes rettigheder fremadrettet uden at tilbyde en løsning for de registrerede, hvis oplysninger allerede er blevet overført. Commissioner har navnlig anført, at databeskyttelsesforordningens artikel 58, stk. 2, ikke foreskriver en ret til indsigt i samt berigtigelse og sletning af oplysninger, som de offentlige myndigheder i tredjelandet har indsamlet, og heller ikke en mulighed for at opnå erstatning af den skade, som de registrerede har lidt.

157. Hvad angår den angivelige manglende ret til indsigt i samt berigtigelse og sletning af de indsamlede oplysninger skal det konstateres, at når der ikke findes et effektivt retsmiddel i bestemmelsestredjelandet, giver de retsmidler, der er fastsat i Unionen over for den dataansvarlige, ikke mulighed for at formå de offentlige myndigheder i dette tredjeland til at give indsigt i disse oplysninger eller mulighed for at opnå berigtigelse og sletning af disse oplysninger.

158. Denne indsigelse kan efter min opfattelse imidlertid ikke begrunde, at afgørelse 2010/87 ikke er forenelig med chartrets artikel 47. Denne afgørelses gyldighed afhænger nemlig ikke af det beskyttelsesniveau, der findes i hvert enkelt af de tredjelande, som oplysningerne på grundlag af de i denne afgørelse fastsatte standardkontraktbestemmelser kan overføres til. Såfremt lovgivningen i bestemmelsestredjestaten forhindrer importøren i at overholde disse bestemmelser ved at kræve, at han giver de offentlige myndigheder en adgang til oplysningerne, som ikke er ledsaget af passende retsmidler, påhviler det tilsynsmyndighederne, såfremt eksportøren ikke har suspenderet overførslen i henhold til standardbestemmelse 5, litra a) eller b), i bilaget til afgørelse 2010/87, at vedtage korrigerende foranstaltninger.

159. Som Maximillian Schrems har anført, har de personer, hvis rettigheder er blevet tilsidesat, i henhold til databeskyttelsesforordningens artikel 82 nu ret til erstatning af den materielle eller immaterielle skade, der er lidt som følge af en overtrædelse af denne forordning, fra den dataansvarlige eller databehandleren (65).

160. Som det fremgår af samtlige disse betragtninger, har min analyse intet frembragt, der i lyset af chartrets artikel 7, 8 og 47 kan påvirke gyldigheden af afgørelse 2010/87.

F. Om den manglende nødvendighed af at besvare de andre præjudicielle spørgsmål og af at undersøge gyldigheden af afgørelsen om »værnet om privatlivets fred«

161. Jeg vil i dette afsnit redegøre for de grunde, der hovedsageligt vedrører den omstændighed, at genstanden for tvisten i hovedsagen er begrænset til spørgsmålet om, hvorvidt afgørelse 2010/87 er gyldig, og som forklarer, hvorfor det efter min opfattelse ikke er nødvendigt at besvare det andet til det femte samt det niende og det tiende præjudicielle spørgsmål, og heller ikke at tage stilling til, om afgørelsen om »værnet om privatlivets fred« er gyldig.

162. Det andet præjudicielle spørgsmål vedrører fastlæggelsen af de beskyttelsesstandarder, som et tredjeland skal overholde, for at oplysninger lovligt kan overføres til dette land på grundlag af standardkontraktbestemmelserne, når der består mulighed for, at dette tredjelands myndigheder efter overførslen vil behandle disse oplysninger af hensyn til den nationale sikkerhed. Det tredje spørgsmål, som Domstolen er blevet forelagt, vedrører fastlæggelsen af de elementer, der kendetegner den beskyttelsesordning, som finder anvendelse i bestemmelsestredjestaten, og som skal tages i betragtning i forbindelse med undersøgelsen af, om denne ordning opfylder disse standarder.

163. Den forelæggende ret ønsker med det fjerde, det femte og det tiende spørgsmål nærmere bestemt oplyst, om der under hensyn til de faktiske omstændigheder, som den har fastlagt vedrørende amerikansk ret, er fastsat de fornødne garantier heri mod, at de amerikanske efterretningsmyndigheder foretager indgreb i udøvelsen af de grundlæggende rettigheder til respekt for privatlivets fred, til beskyttelse af personoplysninger og til effektiv domstolsbeskyttelse.

164. Det niende præjudicielle spørgsmål vedrører spørgsmålet om, hvilken betydning den omstændighed, at Kommissionen i afgørelsen om »værnet om privatlivets fred« konstaterede, at USA sikrer et tilstrækkeligt beskyttelsesniveau for de registreredes rettigheder mod sådanne indgreb, har for en tilsynsmyndigheds undersøgelse af, om en overførsel til USA på grundlag af de standardkontraktbestemmelser, der er fastsat i afgørelse 2010/87, er ledsaget af de fornødne garantier.

165. Den forelæggende ret har ikke udtrykkeligt forelagt spørgsmålet om, hvorvidt afgørelsen om »værnet om privatlivets fred« er gyldig – selv om det fjerde, det femte og det tiende præjudicielle spørgsmål, således som jeg vil redegøre for nedenfor (66), indirekte rejser tvivl om, hvorvidt den konstatering af, at beskyttelsesniveauet var tilstrækkeligt, som Kommissionen foretog i denne afgørelse, var begrundet.

166. Henset til de elementer, der fremgår af den ovenfor anførte analyse, vil Domstolens vejledning med hensyn til disse spørgsmål efter min opfattelse ikke kunne påvirke dens konklusion vedrørende gyldigheden in abstracto af afgørelse 2010/87, og derfor heller ikke påvirke løsningen af tvisten i hovedsagen (afsnit 1). Selv om Domstolens svar på de nævnte spørgsmål på et senere tidspunkt kunne være nyttige for Commissioner, når denne i forbindelse med den i forhold til tvisten underliggende procedure, skal fastlægge, om de omhandlede overførsler in concreto skal suspenderes som følge af den angivelige mangel på fornødne garantier, er det efter min opfattelse for tidligt at tage stilling til disse spørgsmål inden for rammerne af den foreliggende sag (afsnit 2).

1. Om den manglende nødvendighed af en besvarelse fra Domstolen som følge af genstanden for tvisten i hovedsagen

167. Jeg erindrer om, at tvisten i hovedsagen udspringer af den omstændighed, at Commissioner har udøvet det retsmiddel, der er beskrevet i Schrems-dommens præmis 65, hvorefter hver enkelt medlemsstat skal gøre det muligt for en tilsynsmyndighed, når den anser det for nødvendigt for behandlingen af en klage, som den har modtaget, at anmode en national ret om at forelægge Domstolen et præjudicielt spørgsmål om gyldigheden af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller – ud fra en analogibetragtning – om gyldigheden af en afgørelse om at indføre standardkontraktbestemmelser.

168. High Court (ret i første instans) har i denne forbindelse fremhævet, at den i den sag, der er indbragt af Commissioner, kun havde mulighed for at indgive den anmodning om præjudiciel afgørelse om gyldigheden af afgørelse 2010/87, som Commissioner havde anmodet om, såfremt den delte Commissioners tvivl med hensyn til denne afgørelses gyldighed, eller at afslå denne anmodning, såfremt den ikke delte denne tvivl. Denne ret er af den opfattelse, at hvis den havde valgt den anden mulighed, ville den have været tvunget til at afvise sagen, idet Commissioners klage ikke har en anden genstand (67).

169. Supreme Court (øverste domstol) beskrev i tråd hermed i forbindelse med en appel, som Facebook Ireland havde iværksat til prøvelse af forelæggelsesafgørelsen, tvisten i hovedsagen som en deklaratorisk procedure, hvorved Commissioner havde anmodet den forelæggende ret om at forelægge Domstolen et præjudicielt spørgsmål om gyldigheden af afgørelse 2010/87. Den øverste irske domstol er af den opfattelse, at det eneste materielle spørgsmål, der er indbragt for den forelæggende ret og Domstolen, således vedrører gyldigheden af denne afgørelse (68).

170. Henset til den således afgrænsede genstand for tvisten i hovedsagen har den forelæggende ret forelagt Domstolen de ti første spørgsmål, idet den er af den opfattelse, at undersøgelsen af disse spørgsmål skal indgå i den samlede vurdering, der er nødvendig for, at Domstolen som svar på det ellevte spørgsmål kan tage stilling til, om afgørelse 2010/87 i lyset af chartrets artikel 7, 8 og 47 er gyldig. Dette spørgsmål ligger efter den forelæggende rets opfattelse logisk i forlængelse af de forudgående spørgsmål.

171. Det andet til det femte spørgsmål samt det niende og det tiende spørgsmål synes ud fra denne betragtning efter min opfattelse at være baseret på den antagelse, at gyldigheden af afgørelse 2010/87 afhænger af det beskyttelsesniveau for de grundlæggende rettigheder, der er fastsat i hver enkelt tredjestat, hvortil der på grundlag af de standardkontraktbestemmelser, som er fastsat deri, kan overføres oplysninger. Som det fremgår af min analyse af det syvende spørgsmål (69), er denne antagelse imidlertid efter min opfattelse fejlagtig. En undersøgelse af lovgivningen i bestemmelsestredjelandet er kun relevant, når Kommissionen vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller når den dataansvarlige – eller, såfremt en sådan ikke findes, den kompetente tilsynsmyndighed – undersøger, om de forpligtelser, som importøren i henhold til dette tredjelands lovgivning er pålagt, i forbindelse med en overførsel, der foretages på grundlag af de fornødne garantier i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 46, stk. 1, ikke bringer effektiviteten af den beskyttelse, som disse garantier skal sikre, i fare.

172. Domstolens besvarelse af de ovenfor nævnte spørgsmål kan derfor ikke påvirke dens konklusion vedrørende det ellevte spørgsmål (70). Det er således ikke nødvendigt at besvare disse spørgsmål, når der henses til genstanden for tvisten i hovedsagen.

173. Jeg vil derfor foreslå Domstolen kun at behandle den foreliggende sag i forhold til genstanden for denne tvist. Domstolen bør efter min opfattelse ikke gå ud over, hvad der er krævet for at løse den nævnte tvist, ved at behandle de præjudicielle spørgsmål i lyset af den underliggende procedure, der verserer for Commissioner. Som det vil fremgå nedenfor, udspringer denne opfordring til at udvise tilbageholdenhed for det første af et ønske om ikke kortslutte det normale forløb af den procedure, der skal fortsætte for Commissioner, når Domstolen har taget stilling til gyldigheden af afgørelse 2010/87. For det andet forekommer det mig, når der henses til de faktiske omstændigheder i sagen, en anelse forhastet, selv i betragtning af sagens betydning, at Domstolen undersøger de problemstillinger, der er rejst ved det andet til det femte samt det niende og det tiende spørgsmål.

2. Om de grunde, der taler imod, at Domstolen foretager en undersøgelse i lyset af genstanden for den procedure, der verserer for Commissioner

174. Maximillian Schrems anmodede i sin klage til Commissioner denne tilsynsmyndighed om at udøve de beføjelser, som denne råder over i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f), ved at pålægge Facebook Ireland at suspendere den overførsel af hans personoplysninger til USA, som foretages på grundlag af kontraktbestemmelser. Maximillian Schrems anførte til støtte for denne anmodning i det væsentlige, at de kontraktlige garantier som følge af de indgreb, som de amerikanske efterretningstjenesters aktiviteter medfører for udøvelsen af hans grundlæggende rettigheder, ikke har karakter af fornødne garantier.

175. Maximillian Schrems har med sin argumentation anfægtet den konstatering, som Kommissionen foretog i afgørelsen om »værnet om privatlivets fred«, hvorefter USA sikrer et tilstrækkeligt beskyttelsesniveau for de oplysninger, der overføres i henhold til denne afgørelse, som følge af de begrænsninger, der er foretaget af adgangen til disse oplysninger og af de amerikanske efterretningsmyndigheders mulighed for at bruge disse oplysninger, samt den retlige beskyttelse, som de registrerede er omfattet af (71). De betænkeligheder, som Commissioner foreløbigt har givet udtryk for (72), og som også kommer til udtryk i den forelæggende rets fjerde, femte og tiende spørgsmål, rejser desuden indirekte tvivl om rigtigheden af denne konstatering.

176. Afgørelsen om »værnet om privatlivets fred« begrænser sig ganske vist til en konstatering af, at beskyttelsesniveauet for de personoplysninger, der i overensstemmelse med de i denne afgørelse fastsatte principper, overføres til en virksomhed, der er etableret i USA, og som har anmeldt selvcertificering om tilslutning til disse principper, er tilstrækkeligt (73). De betragtninger, der fremgår af denne afgørelse, rækker imidlertid ud over den sammenhæng, som de overførsler, der er omfattet af denne afgørelse, indgår i, for så vidt som de vedrører den lovgivning og praksis, der i dette tredjeland gælder for at kunne behandle de overførte oplysninger af hensyn til den nationale sikkerhed. Som Facebook Ireland, Maximillian Schrems, USA’s regering og Kommissionen i det væsentlige har anført, foretager de amerikanske efterretningsmyndigheder deres overvågning, uanset hvilket retsgrundlag der er i henhold til EU-retten er påberåbt til støtte for overførslen, hvilket også gælder for anvendelsen af de garantier mod den risiko for misbrug, som denne overvågning medfører, og de mekanismer, der har til formål at kontrollere overholdelsen heraf.

177. Ud fra dette synspunkt kan spørgsmålet om, hvorvidt de konstateringer, der på dette punkt er foretaget i afgørelsen om »værnet om privatlivets fred«, er bindende for tilsynsmyndighederne, når de undersøger lovligheden af en overførsel, der er foretaget på grundlag af standardkontraktbestemmelser, vise sig at være relevant for Commissioners behandling af Maximillian Schrems’ klage. Såfremt dette spørgsmål besvares bekræftende, opstår spørgsmålet, om denne afgørelse faktisk er gyldig.

178. Jeg vil imidlertid fraråde Domstolen at tage stilling til disse spørgsmål alene for at hjælpe Commissioner med at behandle denne klage, eftersom det ikke er fornødent at besvare dette spørgsmål for at gøre det muligt for den forelæggende ret at løse tvisten i hovedsagen. Eftersom den procedure, der er fastsat i artikel 267 TEUF, indfører en dialog mellem retsinstanser, påhviler det ikke Domstolen at give vejledning udelukkende med det formål at hjælpe en administrativ myndighed i forbindelse en i forhold til denne tvist underliggende procedure.

179. Der skal efter min opfattelse så meget desto mere udvises tilbageholdenhed, som spørgsmålet om gyldigheden af afgørelsen om »værnet om privatlivets fred« ikke er blevet forelagt Domstolen – denne afgørelse er i øvrigt allerede genstand for et annullationssøgsmål, der verserer for Den Europæiske Unions Ret (74).

180. Hvis Domstolen tog stilling til de ovenfor nævnte problemstillinger, ville den forstyrre det normale forløb af den procedure, der skal gennemføres, efter at den har afsagt sin dom i den foreliggende sag. Det påhviler inden for rammerne af denne procedure Commissioner at behandle Maximillian Schrems’ klage under hensyn til Domstolens besvarelse af det ellevte præjudicielle spørgsmål. Såfremt Domstolen måtte fastslå, således som jeg foreslår, og i modsætning til, hvad Commissioner har gjort gældende for Domstolen, at afgørelse 2010/87 ikke er ugyldig i lyset af chartrets artikel 7, 8 og 47, bør Commissioner efter min opfattelse gives mulighed for på ny at undersøge sagsakterne i den procedure, der verserer for denne myndighed. Såfremt Commissioner er den opfattelse, at myndigheden ikke er i stand til at tage stilling til Maximillian Schrems’ klage, uden at Domstolen først har fastslået, om afgørelsen om »værnet om privatlivets fred« er til hinder for, at den nævnte myndighed kan udøve sin beføjelse til at suspendere den omhandlede overførsel, og såfremt den måtte give udtryk for tvivl med hensyn til, om denne afgørelse er gyldig, ville myndigheden have mulighed for på ny at indbringe en sag for de nationale domstole med henblik på, at disse kan forelægge Domstolen et spørgsmål i denne forbindelse (75).

181. Dette vil iværksætte en procedure, som vil give enhver part og enhver en berørt, som er omfattet af artikel 23, stk. 2, i statutten for Domstolen, mulighed for over for Domstolen at fremsætte bemærkninger, der specifikt vedrører gyldigheden af afgørelsen om »værnet om privatlivets fred«, ved i givet fald at henvise til de bestemte vurderinger, som den pågældende anfægter, og grundene til, at vedkommende er af den opfattelse, at Kommissionen har overskredet grænserne for det begrænsede skøn, som den råder over (76). Kommissionen ville inden for rammerne af en sådan procedure have mulighed for at give en præcis og detaljeret besvarelse af hvert enkelt af de kritikpunkter, der eventuelt måtte være blevet fremsat mod den nævnte afgørelse. Selv om den foreliggende sag har givet de procesdeltagere, der har indgivet indlæg til Domstolen, mulighed for at drøfte visse forhold, der er relevante for vurderingen af, om afgørelsen om »værnet om privatlivets fred« er forenelig med chartrets artikel 7, 8 og 47, fortjener dette spørgsmål som følge af dets betydning, at det undergives en udtømmende og grundig behandling.

182. Forsigtighed tilsiger efter min opfattelse, at Domstolen bør afvente, at disse processuelle trin er gennemført, før den undersøger, hvilken betydning afgørelsen om »værnet om privatlivets fred« vil have for en tilsynsmyndigheds behandling af en anmodning om at suspendere en overførsel til USA i henhold til databeskyttelsesforordningens artikel 46, stk. 1, og at den ikke tager stilling til gyldigheden af denne afgørelse.

183. Dette gælder så meget desto mere, for så vidt som de sagsakter, der er forelagt Domstolen, ikke gør det muligt at fastslå, at Commissioners behandling af Maximillian Schrems’ klage nødvendigvis afhænger af, om afgørelsen om »værnet om privatlivets fred« er til hinder for, at tilsynsmyndighederne kan udøve deres beføjelse til at suspendere en overførsel, der foretages på grundlag af standardkontraktbestemmelserne.

184. For det første er det i denne forbindelse ikke udelukket, at Commissioner vil finde anledning til at suspendere den omhandlede overførsel af andre grunde end dem, der vedrører den angivelige manglende tilstrækkelighed af det beskyttelsesniveau, der i USA er sikret mod de indgreb i de registreredes grundlæggende rettigheder, der følger af efterretningstjenesternes aktiviteter. Den forelæggende ret har navnlig præciseret, at Maximillian Schrems i den klage, som han indgav til Commissioner, anførte, at de kontraktbestemmelser, som Facebook Ireland har påberåbt sig til støtte for denne overførsel, ikke nøjagtigt afspejler de bestemmelser, der fremgår af bilaget til afgørelse 2010/87. Maximillian Schrems har endvidere gjort gældende, at den nævnte overførsel ikke er omfattet af anvendelsesområdet for denne afgørelse, men af anvendelsesområdet for de andre afgørelser om standardkontraktbestemmelserne (77).

185. For det andet har Commissioner og den forelæggende ret anført, at Facebook Ireland til støtte for den overførsel, der er nævnt i Maximillian Schrems’ klage, ikke har henvist til afgørelsen om »værnet om privatlivets fred« (78), hvilket dette selskab bekræftede i retsmødet. Selv om Facebook Inc. foretog selvcertificering om tilslutning til principperne om værnet om privatlivets fred den 30. september 2016 (79), har Facebook Ireland bekræftet, at denne tilslutning kun vedrører overførslen af visse kategorier af oplysninger, nemlig dem, der vedrører Facebook Inc.’s handelspartnere. Det forekommer mig ikke hensigtsmæssigt, at Domstolen foregriber de spørgsmål, der kunne opstå i denne forbindelse, ved at undersøge, om denne overførsel, såfremt det antages, at Facebook Ireland ikke kan påberåbe sig afgørelse 2010/87 til støtte for den omhandlede overførsel, ikke desto mindre er omfattet af afgørelsen om »værnet om privatlivets fred«, selv om dette selskab hverken har fremført dette argument for den forelæggende ret eller for Commissioner.

186. Jeg konkluderer på denne baggrund, at det ikke er nødvendigt at besvare det andet til det femte samt det niende og det tiende spørgsmål, og heller ikke at undersøge, om afgørelsen om »værnet om privatlivets fred« er gyldig.

G. Subsidiære bemærkninger om virkningerne og gyldigheden af afgørelsen om »værnet om privatlivets fred«

187. Selv om den ovenfor anførte analyse fører mig til principalt at foreslå Domstolen ikke at tage stilling til, hvilken betydning afgørelsen om »værnet om privatlivets fred« har for behandlingen af en klage, såsom den klage, som Maximillian Schrems har indgivet til Commissioner, og til gyldigheden af denne afgørelse, forekommer det mig nyttigt subsidiært og med forbehold at fremsætte enkelte ikke-udtømmende bemærkninger på dette punkt.

188. Med det niende præjudicielle spørgsmål ønskes det oplyst, om konstateringen i afgørelsen om »værnet om privatlivets fred« af, at det i USA sikrede beskyttelsesniveau i lyset af de begrænsninger, der er foretaget af de amerikanske myndigheders adgang til og brug af de overførte oplysninger, og af de registreredes retsbeskyttelse, er tilstrækkeligt, er til hinder for, at en tilsynsmyndighed suspenderer en overførsel til dette tredjeland, der gennemføres i henhold til standardkontraktbestemmelserne.

189. Denne problemstilling skal efter min opfattelse ses i lyset af Schrems-dommens præmis 51 og 52, hvoraf fremgår, at en afgørelse om tilstrækkeligheden af beskyttelsesniveauet er bindende for tilsynsmyndighederne, så længe det ikke er fastslået, at den er ugyldig. En tilsynsmyndighed, der har modtaget en klage fra en person, hvis oplysninger er blevet overført til et tredjeland, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan derfor ikke suspendere overførslen med den begrundelse, at beskyttelsesniveauet i dette land er utilstrækkeligt, hvis ikke Domstolen først har fastslået, at denne afgørelse er ugyldig (80).

190. Den forelæggende ret ønsker nærmere bestemt oplyst, om denne konklusion, når der er tale om en afgørelse om tilstrækkeligheden af beskyttelsesniveauet – såsom afgørelsen om »værnet om privatlivets fred« eller før denne afgørelse »safe harbor«-beslutningen – der er baseret på, at virksomheder frivilligt har tilsluttet sig de deri fastsatte principper, udelukkende gælder, i det omfang overførslen til det pågældende tredjeland er omfattet af denne afgørelse, eller også gælder, når den foretages på grundlag af et særskilt retsgrundlag.

191. Maximillian Schrems, den tyske, den nederlandske, den polske og den portugisiske regering samt Kommissionen er af den opfattelse, at den konstatering af, at beskyttelsesniveauet er tilstrækkeligt, der er foretaget i afgørelsen om »værnet om privatlivets fred«, ikke fratager tilsynsmyndighederne deres beføjelse til at suspendere eller forbyde en overførsel til USA, der gennemføres i henhold til standardkontraktbestemmelser. Når overførslen til USA ikke er baseret på afgørelsen om »værnet om privatlivets fred«, er tilsynsmyndighederne i forbindelse med udøvelsen af de beføjelser, som de er tillagt ved databeskyttelsesforordningens artikel 58, stk. 2, ikke formelt bundet af denne afgørelse. Disse myndigheder kan med andre ord undlade at følge de konstateringer, som Kommissionen har foretaget med hensyn til, om niveauet for beskyttelse mod de amerikanske offentlige myndigheders indgreb i de registreredes mulighed for at udøve deres grundlæggende rettigheder er tilstrækkeligt. Den nederlandske regering og Kommissionen har præciseret, at tilsynsmyndighederne ikke desto mindre skal tage hensyn hertil, når de gør brug af disse beføjelser. Den tyske regering er af den opfattelse, at disse myndigheder kun kan nå til en anden konklusion efter at have foretaget en materiel vurdering, der omfatter de relevante undersøgelser, af de af Kommissionen foretagne konstateringer.

192. Facebook Ireland og USA’s regering har til gengæld i det væsentlige anført, at den bindende virkning af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, når der henses til kravene om retssikkerhed og om ensartet anvendelse af EU-retten, indebærer, at tilsynsmyndighederne ikke har beføjelse til at anfægte de konstateringer, der fremgår af den nævnte afgørelse, selv ikke i forbindelse med behandlingen af en klage, der har til formål at opnå suspension af overførsler, der er foretaget til det pågældende tredjeland på et andet grundlag end den nævnte afgørelse.

193. Jeg er enig i den første af disse to tilgange. Eftersom anvendelsesområdet for afgørelsen om »værnet om privatlivets fred« er begrænset til de overførsler, der foretages af en i henhold til denne afgørelse selvcertificeret virksomhed, er den nævnte afgørelse ikke formelt bindende for tilsynsmyndighederne for så vidt angår de overførsler, der ikke er omfattet af dette anvendelsesområde. Afgørelsen om »værnet om privatlivets fred« har på samme måde kun til formål at garantere retssikkerheden for de eksportører, der overfører oplysninger inden for den ramme, der er opstillet deri. Den uafhængighed, som databeskyttelsesforordningens artikel 52 tillægger tilsynsmyndighederne, synes efter min opfattelse også at være til hinder for, at de er bundet af de konstateringer, som Kommissionen foretager i en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, der falder uden for dens anvendelsesområde.

194. Det er klart, at de konstateringer, der fremgår af afgørelsen om »værnet om privatlivets fred«, og som vedrører spørgsmålet om, hvorvidt det beskyttelsesniveau, der i USA er sikret mod de indgreb, der er forbundet med de aktiviteter, som dette lands efterretningstjenester udfører, udgør udgangspunktet for den analyse, hvorved en tilsynsmyndighed konkret vurderer, om en overførsel, der foretages på grundlag af standardkontraktbestemmelserne, skal suspenderes som følge af sådanne indgreb. Såfremt den kompetente tilsynsmyndighed efter at have foretaget en grundig undersøgelse måtte være af den opfattelse, at den ikke kan tilslutte sig disse konstateringer for så vidt angår den overførsel, som den er blevet gjort opmærksom på, bevarer den efter min opfattelse imidlertid muligheden for at udøve de beføjelser, som den er tillagt i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j).

195. Når det er sagt, er det i tilfælde af, at Domstolen måtte besvare det spørgsmål, der her behandles, på en anden måde end den, jeg har argumenteret for, nødvendigt at undersøge, om disse beføjelser ikke desto mindre bør genetableres som følge af, at afgørelsen om »værnet om privatlivets fred« er ugyldig.

2. Om gyldigheden af afgørelsen om »værnet om privatlivets fred«

196. De nedenfor anførte bemærkninger rejser en række spørgsmål om rigtigheden af de vurderinger, der fremgår af afgørelsen om »værnet om privatlivets fred«, med hensyn til spørgsmålet om, hvorvidt det beskyttelsesniveau, der i USA er sikret i forhold til de aktiviteter i form af overvågning af elektronisk kommunikation, som de amerikanske efterretningsmyndigheder foretager, er tilstrækkeligt i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 45, stk. 1. Disse bemærkninger har ikke til formål at foretage en endelig eller udtømmende stillingtagen til gyldigheden af denne afgørelse. De begrænser sig til en række overvejelser, der kan vise sig at være nyttige for Domstolen i det tilfælde, hvor den i modsætning til, hvad jeg har argumenteret for, måtte ønske at tage stilling på dette punkt.

197. Det fremgår i denne forbindelse af 64. betragtning til og punkt I.5 i bilag II til afgørelsen om »værnet om privatlivets fred«, at der kan fastsættes begrænsninger for virksomhedernes tilslutning til de i denne afgørelse nævnte principper, bl.a. af hensyn til den nationale sikkerhed, den offentlige interesse og retshåndhævelsen eller som følge af modstridende forpligtelser, der følger af amerikansk ret.

198. Kommissionen foretog derfor en vurdering af de garantier, der er fastsat i amerikansk ret, med hensyn til amerikanske offentlige myndigheders adgang til og brug af de overførte oplysninger med henblik på bl.a. beskyttelsen af den nationale sikkerhed (81). Kommissionen modtog fra USA’s regering en række tilsagn, der for det første vedrørte de begrænsninger, der var foretaget af de amerikanske myndigheders adgang til og brug af de overførte oplysninger, og, for det andet, den retsbeskyttelse, som de registrerede var sikret (82).

199. Maximillian Schrems har over for Domstolen gjort gældende, at afgørelsen om »værnet om privatlivets fred« ikke er gyldig, idet de således beskrevne garantier ikke sikrer et tilstrækkeligt beskyttelsesniveau for de grundlæggende rettigheder, der tilkommer de personer, hvis oplysninger overføres til USA. Commissioner, EPIC og den østrigske, den polske og den portugisiske regering har uden direkte at anfægte denne afgørelses gyldighed bestridt de vurderinger, som Kommissionen har foretaget deri, vedrørende spørgsmålet om, hvorvidt niveauet for beskyttelse mod de indgreb, der følger af de amerikanske efterretningstjenesters aktiviteter, er tilstrækkeligt. Denne tvivl gengiver de betænkeligheder, som Parlamentet (83), EDPB (84) og EDPS (85) har givet udtryk for.

200. Før der foretages en undersøgelse af rigtigheden af den konstatering, der er foretaget i afgørelsen om »værnet om privatlivets fred«, er det nødvendigt at præcisere den metode, der skal følges i forbindelse med denne undersøgelse.

a) Præciseringer om indholdet af undersøgelsen af, om en afgørelse om tilstrækkeligheden af beskyttelsesniveauet er gyldig

1) Om elementerne i den sammenligning, der gør det muligt at vurdere, om beskyttelsesniveauet er kendetegnet ved »væsentlig overensstemmelse«

201. Som det fremgår af databeskyttelsesforordningens artikel 45, stk. 3, og Domstolens praksis (86), kan Kommissionen kun konstatere, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, for så vidt som den har givet en behørig begrundelse for sin konklusion om, at beskyttelsesniveauet for de registreredes grundlæggende rettigheder i dette land »i det væsentlige svarer til« det niveau, der kræves i Unionen i henhold til denne forordning, sammenholdt med chartret.

202. Undersøgelsen af, om det beskyttelsesniveau, der er sikret i et tredjeland, er tilstrækkeligt, indebærer således nødvendigvis, at der foretages en sammenligning mellem dels de regler og den praksis, der gælder i dette tredjeland, dels de beskyttelsesstandarder, der gælder i Unionen. Den forelæggende ret har med det andet spørgsmål anmodet Domstolen om at præcisere de elementer, der indgår i denne sammenligning (87).

203. Denne ret ønsker nærmere bestemt oplyst, om den kompetence, som i henhold til artikel 4, stk. 2, TEU og databeskyttelsesforordningens artikel 2, stk. 2, er forbeholdt medlemsstaterne på området for beskyttelse af den nationale sikkerhed, indebærer, at Unionens retsorden ikke indeholder beskyttelsesstandarder, med hvilke de garantier, der i et tredjeland gælder for den behandling, som de offentlige myndigheder af hensyn til den nationale sikkerhed foretager af de oplysninger, der blevet overført til dette tredjeland, skal sammenlignes for at vurdere, om de er tilstrækkelige. Såfremt dette spørgsmål besvares bekræftende, ønsker den nævnte ret oplyst, hvorledes den relevante referenceramme skal fastlægges.

204. Det er i denne forbindelse vigtigt at holde sig for øje, at formålet med de begrænsninger, der i EU-retten er fastsat for internationale overførsler af personoplysninger, i form af et krav om opretholdelse af det beskyttelsesniveau, der er fastsat for de registreredes rettigheder, tilsigter at undgå, at de standarder, der gælder inden for Unionen, omgås (88). Som Facebook Ireland i det væsentlige har anført, kan det i lyset af dette formål ikke på nogen måde anses for begrundet at kræve, at et tredjeland skal overholde krav, som ikke svarer til de forpligtelser, der påhviler medlemsstaterne.

205. Det fremgår imidlertid af chartrets artikel 51, stk. 1, at dette charter kun finder anvendelse på medlemsstaterne, når de gennemfører EU-retten. Spørgsmålet om, hvorvidt en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, henset til de begrænsninger af de registreredes mulighed for at udøve de grundlæggende rettigheder, der følger af lovgivningen i bestemmelsestredjelandet, afhænger derfor af, at der foretages en sammenligning mellem disse begrænsninger og de begrænsninger, som medlemsstaterne i henhold til chartrets bestemmelser har mulighed for at foretage, alene for så vidt som en tilsvarende lovgivning i en medlemsstat er omfattet af anvendelsesområdet for EU-retten.

206. Vurderingen af, om det beskyttelsesniveau, der er sikret i bestemmelsestredjestaten, er tilstrækkeligt, kan imidlertid ikke foretages uden hensyntagen til de eventuelle indgreb i de registreredes mulighed for at udøve deres grundlæggende rettigheder, der følger af statslige foranstaltninger, herunder bl.a. inden for området for national sikkerhed, der, såfremt de var blevet vedtaget af en medlemsstat, ikke ville være omfattet af EU-rettens anvendelsesområde. Det fremgår af databeskyttelsesforordningens artikel 45, stk. 2, litra a), at der i forbindelse med denne vurdering uden nogen begrænsninger skal tages hensyn til den lovgivning vedrørende statens sikkerhed, der gælder i denne tredjestat.

207. Vurderingen af, om beskyttelsesniveauet i lyset af sådanne statslige foranstaltninger er tilstrækkeligt, indebærer efter min opfattelse, at der skal foretages en sammenligning af de garantier, der er knyttet til disse foranstaltninger, og det beskyttelsesniveau, der kræves i Unionen i henhold til medlemsstaternes lovgivninger, herunder deres forpligtelser i henhold til EMRK. Eftersom medlemsstaterne som følge af deres tiltrædelse af EMRK har forpligtet sig til at bringe deres nationale lovgivning i overensstemmelse med bestemmelserne i denne konvention, og eftersom den, således som Facebook Ireland, den tyske og den tjekkiske regering samt Kommissionen i det væsentlige har anført, derfor udgør et fællestræk for medlemsstaterne, vil jeg anse disse bestemmelser for det relevante sammenligningsgrundlag i forbindelse med denne vurdering.

208. Som anført ovenfor (89) går de krav, der vedrører USA’s nationale sikkerhed, i det foreliggende tilfælde forud for de forpligtelser, der påhviler de virksomheder, som har foretaget selvcertificering i henhold til afgørelsen om »værnet om privatlivets fred«. Denne afgørelses gyldighed afhænger således af, om disse krav er ledsaget af garantier, der giver et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der skal sikres i Unionen.

209. For at besvare dette spørgsmål er det nødvendigt først at identificere de standarder – dvs. de standarder, der følger af chartret eller endog af EMRK – som de regler inden for området for overvågning af elektronisk kommunikation, der svarer til de regler, som Kommissionen undersøgte i afgørelsen om »værnet om privatlivets fred«, skal overholde i Unionen. Fastlæggelsen af, hvilke standarder der finder anvendelse, afhænger af, om reglerne, såsom FISA’s section 702 og EO 12333, såfremt de var vedtaget af en medlemsstat, ville være omfattet af den begrænsning af databeskyttelsesforordningens anvendelsesområde, der er fastsat i henhold til denne forordnings artikel 2, stk. 2, sammenholdt med artikel 4, stk. 2, TEU.

210. Det fremgår i denne forbindelse af ordlyden af artikel 4, stk. 2, TEU og af fast retspraksis, at EU-retten og navnlig de afledte retsakter, der vedrører beskyttelsen af personoplysninger, ikke finder anvendelse på aktiviteter inden for området for beskyttelse af den nationale sikkerhed, for så vidt som disse aktiviteter udgør statens eller statslige myndigheders aktiviteter, og ikke har noget at gøre med området for den enkelte borgers aktiviteter (90).

211. For det første indebærer dette princip, at regler inden for området for beskyttelse af den nationale sikkerhed ikke er omfattet af EU-rettens anvendelsesområde, når de udelukkende regulerer statslige aktiviteter, og ikke på nogen måde vedrører aktiviteter, der udøves af den enkelte borger. EU-retten finder efter min opfattelse derfor ikke anvendelse på nationale foranstaltninger, der vedrører indsamling og brug af personoplysninger, og som staten uden at pålægge private erhvervsdrivende specifikke forpligtelser gennemfører direkte med henblik på at beskytte den nationale sikkerhed. Som Kommissionen anførte i retsmødet, er navnlig en foranstaltning, der er vedtaget af en medlemsstat, og som i lighed med EO 12333 tillader, at denne medlemsstats efterretningstjenester får direkte adgang til oplysninger i transit, udelukket fra EU-rettens anvendelsesområde (91).

212. For det andet opstår det langt mere komplekse spørgsmål om, hvorvidt de nationale bestemmelser, der på samme måde som FISA’s section 702 pålægger udbydere af elektroniske kommunikationstjenester at tilbyde de kompetente myndigheder inden for området for national sikkerhed deres bistand med henblik på at give dem mulighed for at få adgang til visse personoplysninger, heller ikke er omfattet af EU-rettens anvendelsesområde.

213. Selv om PNR-dommen taler for at besvare dette spørgsmål bekræftende, kan den argumentation, der er anvendt i Tele2 Sverige-dommen og Ministerio Fiscal-dommen, begrunde, at dette spørgsmål besvares benægtende.

214. I PNR-dommen annullerede Domstolen den afgørelse, hvori Kommissionen havde konstateret, at det beskyttelsesniveau for personoplysninger, der var indeholdt i registre over flypassagerer (Passenger Name Records, PNR), og som blev videregivet til den kompetente amerikanske told- og grænsekontrolmyndighed, var tilstrækkeligt (92). Domstolen fastslog, at den behandling, som denne afgørelse vedrørte – dvs. luftfartsselskabernes videregivelse af PNR-oplysninger til den pågældende myndighed – henset til dens formål var omfattet af den undtagelse fra anvendelsesområdet for direktiv 95/46, der var fastsat i dette direktivs artikel 3, stk. 2. Denne behandling var efter Domstolens opfattelse ikke nødvendig for at levere en tjenesteydelse, men for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål. Eftersom den pågældende videregivelse skete inden for rammer, der var indført af de statslige myndigheder, og som vedrørte den offentlige sikkerhed, var den ikke omfattet af dette direktivs anvendelsesområde, til trods for den omstændighed, at PNR-oplysningerne oprindeligt blev indsamlet af private erhvervsdrivende i forbindelse med en kommerciel aktivitet, der var omfattet af dette anvendelsesområde, og at disse erhvervsdrivende sørgede for denne videregivelse (93).

215. I den senere Tele2 Sverige-dom (94) fastslog Domstolen, at nationale bestemmelser, der er udstedt på grundlag af artikel 15, stk. 1, i direktiv 2002/58/EF (95), og som regulerer såvel den lagring af trafik-og lokaliseringsdata, som udbyderne af elektroniske telekommunikationstjenester foretager, som de offentlige myndigheders adgang til de lagrede data med henblik på de i denne bestemmelse nævnte mål – som omfatter strafferetlig håndhævelse og beskyttelse af den nationale sikkerhed – er omfattet af dette direktivs anvendelsesområde og dermed af chartret. Hverken de bestemmelser, der vedrører datalagring, eller de bestemmelser, der vedrører adgangen til de lagrede data, er efter Domstolens opfattelse omfattet af den undtagelse fra dette direktivs anvendelsesområde, der er fastsat i dette direktivs artikel 1, stk. 3, og hvori der bl.a. er henvist til statens aktiviteter inden for retshåndhævelse og beskyttelse af den nationale sikkerhed (96). Domstolen bekræftede denne praksis i Ministerio Fiscal-dommen (97).

216. FISA’s section 702 adskiller sig imidlertid fra en sådan lovgivning, for så vidt som denne bestemmelse ikke pålægger udbyderne af elektroniske kommunikationstjenester nogen forpligtelse til at opbevare oplysningerne eller til at foretage en hvilken som helst anden behandling, når der ikke foreligger en anmodning om adgang til oplysningerne fra efterretningsmyndighederne.

217. Der opstår derfor det spørgsmål, om nationale foranstaltninger, der pålægger disse udbydere en forpligtelse til af hensyn til den nationale sikkerhed at stille oplysninger til rådighed for de offentlige myndigheder uanset, om der foreligger en opbevaringspligt, er omfattet af databeskyttelsesforordningens anvendelsesområde og dermed af chartret (98).

218. En første tilgang kunne bestå i så vidt muligt at forene de to linjer i den ovenfor nævnte retspraksis ved at fortolke den konklusion, som Domstolen drog i Tele2 Sverige-dommen og Ministerio Fiscal-dommen med hensyn til, om EU-retten finder anvendelse på foranstaltninger, der regulerer de nationale myndigheders mulighed for at få adgang til oplysninger bl.a. af hensyn til beskyttelsen af den nationale sikkerhed (99), således at den er begrænset til de tilfælde, hvori oplysningerne er blevet opbevaret i medfør af en lovbestemt forpligtelse, der er indført i henhold til artikel 15, stk. 1, i direktiv 2002/58. Denne konklusion ville til gengæld ikke finde anvendelse på de særlige faktiske omstændigheder, der lå til grund for PNR-dommen, og som vedrørte den situation, at en række luftfartsselskaber på eget initiativ og med et kommercielt formål videregav oplysninger til en amerikansk myndighed, der havde ansvaret for den indre sikkerhed.

219. Ifølge en anden tilgang, som Kommissionen har argumenteret for, og som jeg finder mere overbevisende, kan den argumentation, der er anvendt i Tele2 Sverige-dommen og Ministerio Fiscal-dommen, begrunde, at EU-retten finder anvendelse på nationale regler, der pålægger udbydere af elektroniske kommunikationstjenester at bistå de myndigheder, der har ansvaret for den nationale sikkerhed, således at disse myndigheder kan få adgang til visse oplysninger, uden at det er af betydning, om disse regler ledsages af en forudgående forpligtelse til at opbevare oplysningerne.

220. Det centrale i denne argumentation er nemlig ikke genstanden for de omhandlede bestemmelser, således som det var tilfældet i PNR-dommen, men den omstændighed, at disse bestemmelser regulerede udbydernes aktiviteter ved at pålægge dem at foretage en behandling af oplysninger. Disse aktiviteter udgjorde ikke aktiviteter, som staten udfører inden for de områder, der er nævnt i artikel 1, stk. 3, i direktiv 2002/58 og artikel 3, stk. 2, i direktiv 95/46, som databeskyttelsesforordningens artikel 2, stk. 2, i det væsentlige gengiver indholdet af.

221. Domstolen udtalte således i Tele2 Sverige-dommen, at »adgang til de data, der lagres af de nævnte udbydere, […] under disse omstændigheder [vedrører] behandling af personoplysninger, som foretages af udbyderne, og behandlingen er omfattet af direktivets anvendelsesområde« (100). Domstolen fastslog på samme måde i Ministerio Fiscal-dommen, at retsforskrifter, der pålægger udbyderne at give de kompetente myndigheder adgang til de lagrede oplysninger, »nødvendigvis indebærer, at disse udbydere behandler [disse] oplysninger« (101).

222. Den omstændighed, at den dataansvarlige stiller oplysninger til rådighed for en offentlig myndighed, opfylder imidlertid den definition af »behandling«, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 2) (102). Det samme gør sig gældende for forudgående filtrering af oplysninger ved hjælp af søgekriterier med henblik på at isolere de oplysninger, som de offentlige myndigheder har anmodet om adgang til (103).

223. Jeg konkluderer på denne baggrund, at databeskyttelsesforordningen og dermed chartret ifølge den argumentation, som Domstolen anvendte i Tele2 Sverige-dommen og Ministerio Fiscal-dommen, finder anvendelse på en national lovgivning, der pålægger en udbyder af elektroniske kommunikationstjenester at tilbyde de myndigheder, der har ansvaret for den nationale sikkerhed, sin bistand, ved at stille oplysningerne til deres rådighed i givet fald efter at have filtreret dem, uanset om der består en retlig pligt til at opbevare disse oplysninger.

224. Denne fortolkning synes endvidere i det mindste indirekte at følge af Schrems-dommen. Som Commissioner, den østrigske og den polske regering samt Kommissionen har anført, fastslog Domstolen i denne dom i forbindelse med undersøgelsen af, om »safe harbor«-beslutningen var gyldig, at lovgivningen i et tredjeland, der er omhandlet i en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, mod de indgreb, som dette lands offentlige myndigheder af hensyn til den nationale sikkerhed måtte foretage i de registreredes grundlæggende rettigheder, skal fastsætte garantier, der i det væsentlige svarer til dem, der følger af bl.a. chartrets artikel 7, 8 og 47 (104).

225. Det følger mere specifikt heraf, at en national foranstaltning, der pålægger udbydere af elektroniske kommunikationstjenester at imødekomme en anmodning fra de kompetente myndigheder, som har ansvaret for den nationale sikkerhed, om adgang til visse oplysninger, som disse udbydere, uden at der består en retlig forpligtelse, opbevarer som led i deres forretningsmæssige aktiviteter, ved på forhånd at identificere de ønskede oplysninger ved hjælp af selektorer (således som det er tilfældet inden for rammerne af PRISM-programmet), ikke er omfattet af databeskyttelsesforordningens artikel 2, stk. 2. Det samme gør sig gældende for en national foranstaltning, der kræver, at de virksomheder, der benytter »rygraden« i telekommunikationen, skal give de myndigheder, der har ansvaret for den nationale sikkerhed, adgang til de oplysninger, der overføres via de infrastrukturer, som de udnytter (således som det er tilfældet inden for rammene af Upstream-programmet).

226. Når de omhandlede oplysninger er nået frem til de statslige myndigheder, er den opbevaring og senere brug, som disse myndigheder af hensyn til den nationale sikkerhed foretager heraf, af de samme grunde som dem, der er nævnt i punkt 211 i dette forslag til afgørelse, efter min opfattelse til gengæld omfattet af den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, hvilket indebærer, at de ikke er omfattet af denne forordnings anvendelsesområde og heller ikke af chartret.

227. På baggrund af samtlige de ovenfor anførte betragtninger er det min opfattelse, at en kontrol af, om afgørelsen om »værnet om privatlivets fred« i lyset af de begrænsninger af de deri fastsatte principper, som kan følge af de amerikanske efterretningsmyndigheders aktiviteter, er gyldig, indebærer, at der skal foretages en dobbelt undersøgelse.

228. For det første skal det undersøges, om USA sikrer et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der følger af databeskyttelsesforordningens og chartrets bestemmelser, over for de begrænsninger, der følger af anvendelsen af FISA’s section 702, for så vidt som denne bestemmelse giver NSA mulighed for at pålægge udbyderne at stille personoplysninger til sin rådighed.

229. For det andet udgør EMRK’s bestemmelser den relevante referenceramme for vurderingen af, om de begrænsninger, som gennemførelsen af EO 12333 vil kunne medføre, for så vidt som efterretningsmyndighederne derved gives tilladelse til selv at indsamle personoplysninger uden bistand fra private erhvervsdrivende, rejser tvivl om, hvorvidt det i USA sikrede beskyttelsesniveau er tilstrækkeligt. Disse bestemmelser giver desuden det sammenligningsgrundlag, der gør det muligt at vurdere, om dette beskyttelsesniveau er tilstrækkeligt, når der henses til, hvorledes disse myndigheder af hensyn til den nationale sikkerhed opbevarer og bruger de indsamlede oplysninger.

230. Det står imidlertid fortsat tilbage at fastslå, om en konstatering af, at beskyttelsesniveauet er tilstrækkeligt, forudsætter, at indsamling af oplysninger i henhold til EO 12333 skal være ledsaget af et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der skal sikres i Unionen, selv når denne indsamling sker uden for USA, under den fase, hvor oplysningerne er i transit fra Unionen til dette tredjeland.

2) Om nødvendigheden af at sikre et tilstrækkeligt beskyttelsesniveau under den fase, hvori oplysningerne er i transit

231. Der er for Domstolen argumenteret for tre forskellige opfattelser med hensyn til, om det er nødvendigt for Kommissionen i forbindelse med vurderingen af, om det beskyttelsesniveau, der er sikret i et tredjeland, er tilstrækkeligt at tage hensyn til de nationale foranstaltninger, der vedrører den mulighed, som dette tredjelands myndigheder har for at få adgang til oplysninger uden for sit område, under den fase, hvori oplysninger er i transit fra Unionen til dette område.

232. For det første har Facebook Ireland samt USA’s og Det Forenede Kongeriges regering i det væsentlige gjort gældende, at eksistensen af sådanne foranstaltninger ikke har nogen betydning for konstateringen af, om beskyttelsesniveauet er tilstrækkeligt. De har til støtte for denne tilgang anført, at det ikke er muligt for en tredjestat at kontrollere alle de kommunikationskanaler, der findes uden for dets område, og hvorigennem der overføres oplysninger fra Unionen, hvilket indebærer, at det rent teoretisk aldrig kan garanteres, at en anden tredjestat ikke i hemmelighed indsamler oplysninger, der er i transit.

233. For det andet har Commissioner, Maximillian Schrems, EPIC, den østrigske og den nederlandske regering, Parlamentet og EDPB anført, at det krav om opretholdelse af beskyttelsesniveauet, der er nævnt i databeskyttelsesforordningens artikel 44, indebærer, at dette niveau skal være tilstrækkeligt under hele overførslen, herunder når oplysningerne er i transit via kabler, der ligger på havbunden, før de når frem til bestemmelseslandets område.

234. For det tredje har Kommissionen anerkendt dette princip og anført, at formålet med en konstatering af, at beskyttelsesniveauet er tilstrækkeligt, er begrænset til den beskyttelse, som det pågældende tredjeland har sikret inden for dets grænser, hvilket indebærer, at den omstændighed, at der under transitfasen til dette tredjeland ikke er sikret et tilstrækkeligt beskyttelsesniveau, ikke rejser tvivl om gyldigheden af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Det påhviler imidlertid den dataansvarlige i henhold til databeskyttelsesforordningens artikel 32 at varetage sikkerheden omkring overførslen ved i videst muligt omfang at beskytte personoplysningerne i transitfasen til det nævnte tredjeland.

235. Jeg vil i denne forbindelse nævne, at det af databeskyttelsesforordningens artikel 44 fremgår, at en overførsel til et tredjeland er betinget af, at de betingelser, der er nævnt i bestemmelserne i denne forordnings kapitel V, er opfyldt, for så vidt som oplysningerne kan underkastes en behandling »efter overførsel«. Som USA’s regering har anført i sin skriftlige besvarelse af spørgsmål fra Domstolen, kan denne ordlyd forstås enten således, at disse betingelser skal være opfyldt, når oplysningerne er nået frem til bestemmelsesstedet, eller således, at de skal være opfyldt, efter at overførslen er blevet iværksat (herunder i transitfasen).

236. Eftersom ordlyden af databeskyttelsesforordningens artikel 44 ikke giver det endelige svar, fører en formålsfortolkning til, at jeg kan tilslutte mig den anden af de ovenfor nævnte tilgange. Såfremt det måtte antages, at det krav om opretholdelse af det beskyttelsesniveau, der er fastsat i denne bestemmelse, kun omfatter de overvågningsforanstaltninger, der er gennemført inden for bestemmelsestredjelandets område, ville dette krav kunne omgås, hvis dette tredjeland anvendte sådanne foranstaltninger uden for sit område under den fase, hvori oplysninger er i transit. For at undgå denne risiko skal en vurdering af, om det beskyttelsesniveau, der er sikret i et tredjeland, er tilstrækkeligt, vedrøre samtlige bestemmelser, herunder inden for området for national sikkerhed, i dette tredjelands retsorden (105), hvilket omfatter såvel de bestemmelser, der vedrører den overvågning, som gennemføres på dens område, som de bestemmelser, der gør det muligt at foretage overvågning af oplysninger i transit til dette område (106).

237. Når dette er sagt, er det ubestridt, således som EDPB har anført, at vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, udelukkende vedrører bestemmelserne i den retsorden, der finder anvendelse i det tredjeland, hvori oplysningerne modtages, således som det fremgår af databeskyttelsesforordningens artikel 45, stk. 1. Den omstændighed, at det, således som Facebook Ireland og USA’s og Det Forenede Kongeriges regering har anført, ikke er muligt at garantere, at en anden tredjestat ikke i hemmelighed indsamler disse oplysninger under transitfasen, påvirker ikke denne vurdering. Det er i øvrigt ikke muligt at udelukke en sådan risiko, selv ikke efter at oplysningerne er kommet frem til bestemmelsestredjestatens område.

238. Det er i øvrigt også korrekt, at Kommissionen, når den skal vurdere, om det beskyttelsesniveau, som et tredjeland sikrer, er tilstrækkeligt, i givet fald kan stå over for den situation, at dette tredjeland har undladt at oplyse den om eksistensen af visse hemmelige overvågningsprogrammer. Det følger imidlertid ikke heraf, at Kommissionen, når den får kendskab til sådanne programmer, kan undlade at tage hensyn hertil i forbindelse med sin undersøgelse af, om beskyttelsesniveauet er tilstrækkeligt. Selv om Kommissionen efter at have truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bliver bekendt med eksistensen af visse hemmelige overvågningsprogrammer, som det pågældende tredjeland har gennemført på sit område eller i forhold til transitfasen til dette tredjeland, har den desuden pligt til at foretage en ny vurdering af sin konstatering af, at det beskyttelsesniveau, der er sikret i dette tredjeland, er tilstrækkeligt, såfremt en sådan afsløring giver anledning til tvivl på dette punkt (107).

3) Hvorvidt der skal tages hensyn til de faktiske konstateringer, som Kommissionen og den forelæggende ret har foretaget med hensyn til amerikansk ret

239. Selv om det er ubestridt, at Domstolen ikke har kompetence til at anlægge en fortolkning af lovgivningen i et tredjeland, som vil være bindende i dette tredjelands retsorden, afhænger gyldigheden af afgørelsen om »værnet om privatlivets fred« af, om de vurderinger, som Kommissionen foretog med hensyn til det beskyttelsesniveau, der i amerikansk ret og praksis er sikret, for de grundlæggende rettigheder, der tilkommer de personer, hvis oplysninger er blevet overført til dette tredjeland, er begrundede. Kommissionen var nemlig forpligtet til at begrunde sin konstatering af, at beskyttelsesniveauet var tilstrækkeligt, under henvisning til de elementer, der bl.a. vedrører indholdet af det nævnte tredjelands lovgivning, og som er nævnt i databeskyttelsesforordningens artikel 45, stk. 2 (108).

240. High Court (ret i første instans) foretog i sin dom af 3. oktober 2017, efter at have foretaget en vurdering af de beviser, som parterne i tvisten havde fremlagt, detaljerede konstateringer, der beskrev de relevante elementer i amerikansk ret (109). Denne redegørelse er i vidt omfang sammenfaldende med de konstateringer, som Kommissionen foretog i afgørelsen om »værnet om privatlivets fred« med hensyn til indholdet af de regler, der regulerer de amerikanske efterretningsmyndigheders indsamling af og adgang til de overførte oplysninger og adgangen til de retsmidler og tilsynsmekanismer, der er forbundet med disse aktiviteter.

241. Den forelæggende ret har i lighed med flere af de procesdeltagere, der har indgivet skriftlige indlæg til Domstolen, snarere anfægtet de retlige konsekvenser, som Kommissionen har draget af disse konstateringer – dvs. konklusionen om, at USA sikrer et tilstrækkeligt beskyttelsesniveau for de grundlæggende rettigheder hos de personer, hvis oplysninger overføres i henhold til denne afgørelse – end den beskrivelse, som Kommissionen har foretaget af amerikansk ret.

242. Under disse omstændigheder vil jeg i det væsentlige foretage en vurdering af, om afgørelsen om »værnet om privatlivets fred« i lyset af de konstateringer, som Kommissionen selv foretog med hensyn til indholdet af amerikansk ret, er gyldig, idet jeg vil undersøge, om disse konstateringer kunne begrunde vedtagelsen af denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

243. Jeg kan i denne forbindelse ikke tilslutte mig det synspunkt, som Commissioner og Maximillian Schrems har argumenteret for, hvorefter de konstateringer, som High Court (ret i første instans) har foretaget med hensyn til amerikansk ret, vil være bindende for Domstolen i forbindelse med undersøgelsen af, om afgørelsen om »værnet om privatlivets fred« er gyldig. Commissioner og Maximillian Schrems har anført, at eftersom udenlandsk lovgivning i henhold til irsk processuel ret udgør et faktisk spørgsmål, har den forelæggende ret alene kompetence til at fastlægge indholdet heraf.

244. Det er ganske vist i fast retspraksis anerkendt, at den forelæggende ret har enekompetence til at fastlægge de relevante faktiske omstændigheder og til at fortolke og anvende en medlemsstats lovgivning på den tvist, som den er blevet forelagt (110). Denne retspraksis viser den funktionelle adskillelse mellem Domstolen og den forelæggende ret inden for rammerne af den procedure, der er indført ved artikel 267 TEUF. Domstolen har enekompetence til at fortolke EU-retten og til at tage stilling til gyldigheden af den afledte ret, mens det tilkommer den forelæggende ret, når den skal tage stilling til en konkret tvist, der verserer for den, at fastlægge de faktiske og retlige omstændigheder, således at Domstolen kan give den et nyttigt svar.

245. Begrundelsen for, at den forelæggende ret har denne enekompetence, kan efter min opfattelse ikke overføres på fastlæggelsen af et tredjelands lovgivning som element, der kan påvirke den konklusion, som Domstolen måtte drage med hensyn til gyldigheden af en afledt retsakt (111). Eftersom en konstatering af, at en sådan retsakt er ugyldig, er bindende erga omnes i Unionens retsorden (112), kan Domstolens konklusion ikke afhænge af, hvilken ret der har forelagt anmodningen om præjudiciel afgørelse. Som Facebook Ireland og USA’s regering har anført, ville denne konklusion imidlertid være afhængig af, hvilken ret der havde forelagt denne anmodning, såfremt Domstolen var bundet af de konstateringer, som den forelæggende ret måtte have foretaget vedrørende en tredjestats lovgivning, idet disse konstateringer kan være forskellige afhængigt af, hvilken national ret der foretager dem.

246. På baggrund af disse betragtninger er det min opfattelse, at når en besvarelse af et præjudicielt spørgsmål, der vedrører gyldigheden af en EU-retsakt, indebærer, at der skal foretages en vurdering af indholdet af en tredjestats lovgivning, er Domstolen, selv om den kan tage hensyn til de konstateringer, som den forelæggende ret har foretaget med hensyn til denne tredjestats lovgivning, ikke bundet heraf. Domstolen kan i givet fald se bort fra eller supplere disse konstateringer samtidig med, at den under overholdelsen af kontradiktionsprincippet tager hensyn til andre kilder med henblik på at fastlægge de elementer, der er nødvendige for at fortage en vurdering af, om den pågældende retsakt er gyldig (113).

4) Om rækkevidden af standarden for »væsentlig overensstemmelse«

247. Jeg erindrer om, at gyldigheden af afgørelsen om »værnet om privatlivets fred« afhænger af, om USA’s retsorden sikrer de personer, hvis oplysninger overføres fra Unionen til dette tredjeland, et beskyttelsesniveau, der »i det væsentlige svarer til« det niveau, der er sikret i medlemsstaterne i henhold til databeskyttelsesforordningen og chartret samt inden for de områder, der ikke er omfattet af EU-rettens anvendelsesområde, deres forpligtelser i henhold til EMRK.

248. Som Domstolen bemærkede i Schrems-dommen (114), indebærer denne standard ikke, at beskyttelsesniveauet skal være »identisk« med det niveau, der kræves i Unionen. Selv om de midler, som et tredjeland anvender for at sikre de registreredes rettigheder, kan være forskellige fra de midler, der er fastsat i databeskyttelsesforordningen, sammenholdt med chartret, »skal disse midler […] i praksis vise sig at være effektive med henblik på at sikre en beskyttelse, som i det væsentlige svarer til den inden for Unionen sikrede beskyttelse«.

249. Det følger efter min opfattelse endvidere heraf, at der i lovgivningen i bestemmelsestredjestaten kan være anvendt selvstændige værdinormer, der indebærer, at den respektive vægt af de forskellige foreliggende interesser kan adskille sig fra den vægt, som de er tillagt i Unionens retsorden. Den beskyttelse af personoplysninger, der gælder inden for Unionen, har i øvrigt en særlig høj standard, når den sammenlignes med det beskyttelsesniveau, der gælder i resten af verden. Kriteriet om »væsentlig overensstemmelse« bør efter min opfattelse anvendes således, at der opretholdes en vis fleksibilitet for at tage hensyn til de forskellige retlige og kulturelle traditioner. Dette kriterium må imidlertid indebære, idet det i modsat fald bliver indholdsløst, at visse minimumsgarantier for og generelle krav til beskyttelse af de grundlæggende rettigheder, der følger af chartret og EMRK, findes tilsvarende i den retsorden, der gælder i bestemmelsestredjelandet (115).

250. Det fremgår i denne forbindelse af chartres artikel 52, stk. 1, at enhver begrænsning i udøvelsen af de rettigheder og friheder, der er fastsat i chartret, skal være fastlagt i lovgivningen, respektere disse rettigheders og friheders væsentligste indhold og under iagttagelse af proportionalitetsprincippet skal være nødvendige og faktisk svare til mål af almen interesse, der er anerkendt af Unionen, eller til et behov for beskyttelse af andres rettigheder og friheder. Disse krav svarer i det væsentlige til de krav, der er nævnt i EMRK’s artikel 8, stk. 2 (116).

251. I henhold til chartrets artikel 52, stk. 3, har de rettigheder, der er sikret ved dette charters artikel 7, 8 og 47, i det omfang de svarer til de rettigheder, der er fastsat i EMRK’s artikel 8 og 13, samme betydning og omfang, idet EU-retten dog kan yde dem en mere omfattende beskyttelse. Som det vil fremgå af min redegørelse, er de standarder, der følger af chartrets artikel 7, 8 og 47, således som de fortolkes af Domstolen, ud fra dette synspunkt i visse henseender strengere end dem, der følger af EMRK’s artikel 8, således som denne bestemmelse fortolkes af Den Europæiske Menneskerettighedsdomstol (herefter »Menneskerettighedsdomstolen«).

252. Jeg vil endvidere nævne, at der ved begge disse domstole verserer sager, der giver dem anledning til på ny at tage stilling til visse aspekter i deres respektive praksisser. For det første er to domme, som Menneskerettighedsdomstolen for nylig har afsagt vedrørende området for overvågning af elektroniske kommunikationstjenester – nemlig dommen i sagen Centrüm för Rättvisa mod Sverige (117) og dommen i sagen Big Brother Watch mod Det Forenede Kongerige (118) – blevet henvist til fornyet prøvelse ved denne domstols store afdeling. For det andet har tre nationale retter forelagt Domstolen anmodninger om præjudiciel afgørelse, der giver anledning til en drøftelse af, om der er behov for at foretage en opblødning af den praksis fra Domstolen, der følger af Tele2 Sverige-dommen (119).

253. På baggrund af disse præciseringer vil jeg nu undersøge, om afgørelsen om »værnet om privatlivets fred« i lyset af databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartret og EMRK, er gyldig, for så vidt som chartret og EMRK garanterer dels retten til respekt for privatlivet og retten til beskyttelse af personoplysninger [afsnit b)], dels retten til en effektiv domstolsbeskyttelse [afsnit c)].

b) Hvorvidt afgørelsen om »værnet om privatlivets fred« er gyldig i lyset af retten til respekt for privatlivet og retten til beskyttelse af personoplysninger

254. Den forelæggende ret har inden for rammerne af det fjerde spørgsmål nærmere bestemt rejst tvivl om, hvorvidt det beskyttelsesniveau, der er sikret i USA, i det væsentlige svarer til det niveau, som i Unionen indrømmes de registrerede som følge af deres grundlæggende ret til respekt for privatlivet og ret til beskyttelse af personoplysninger.

1) Hvorvidt der foreligger indgreb

255. I 67.-124. betragtning til afgørelsen om »værnet om privatlivets fred« har Kommissionen redegjort for den mulighed, at de amerikanske offentlige myndigheder får adgang til de oplysninger, der overføres fra Unionen, og at de af hensyn til den nationale sikkerhed gør brug af disse oplysninger inden for rammene af de programmer, der er vedtaget i henhold til navnlig FISA’s section 702 eller EO 12333.

256. Gennemførelsen af disse programmer indebærer, at de amerikanske efterretningstjenester foretager en indtrængning, der, såfremt den blev foretaget af en medlemsstat, ville blive anset for et indgreb i udøvelsen af den ret til respekt for privatlivet, der er sikret ved chartrets artikel 7 og EMRK’s artikel 8. En sådan gennemførelse udsætter endvidere de registrerede for en risiko for, at deres personoplysninger undergives en behandling, der ikke opfylder de krav, der er nævnt i chartrets artikel 8 (120).

257. Jeg vil indledningsvis præcisere, at retten til respekt for privatlivet og retten til beskyttelse af personoplysninger ikke blot omfatter beskyttelsen af indholdet af kommunikationen, men også af trafik- (121) og lokaliseringsdata (der under ét benævnes »metadata«). Såvel Domstolen som Menneskerettighedsdomstolen har nemlig anerkendt, at metadata i lighed med dataindholdet kan afsløre meget præcise oplysninger om en persons privatliv (122).

258. Det fremgår af Domstolens praksis, at det i forbindelse med afgørelsen af, om der foreligger et indgreb i udøvelsen af den ret, der er sikret ved chartrets artikel 7, er uden betydning, om de pågældende oplysninger er følsomme oplysninger, eller om den pågældende overvågningsforanstaltning har medført eventuelle ubehageligheder for de berørte (123).

259. Når dette er sagt, medfører de overvågningsprogrammer, der er vedtaget på grundlag af FISA’s section 702, for det første indgreb i udøvelsen af de grundlæggende rettigheder hos de personer, hvis kommunikation indeholder de af NSA valgte selektorer og derfor af udbyderne af de elektroniske kommunikationstjenester videresendes til NSA (124). Den forpligtelse, der påhviler udbyderne, til at stille oplysningerne til rådighed for NSA, indebærer, for så vidt som den udgør en fravigelse af princippet om kommunikationshemmelighed (125), i sig selv et indgreb, selv om disse oplysninger ikke efterfølgende tilgås og bruges af efterretningsmyndighederne (126). Såfremt disse myndigheder faktisk foretager opbevaring og har adgang til metadata og indholdet af den kommunikation, der stilles til deres rådighed, udgør dette i lighed med brug af disse oplysninger yderligere indgreb (127).

260. Som det fremgår af den forelæggende rets konstateringer (128) og af andre kilder, såsom PCLOB’s rapport om de programmer, der gennemføres i henhold til FISA’s section 702, og som USA’s regering har fremlagt for Domstolen (129), har NSA inden for rammerne af Upstream-programmet desuden allerede adgang med henblik på filtrering til den omfattende mængde af data (»datapakker«), der indgår i de kommunikationsstrømme, som passerer via telekommunikationens »rygrad«, og som omfatter den kommunikation, der ikke indeholder de af NSA identificerede selektorer. NSA har kun mulighed for at undersøge disse datamængder for hurtigt og på en automatiseret måde at konstatere, om de indeholder disse selektorer. Den kommunikation, der således er blevet filtreret, gemmes derefter i NSA’s databaser. Denne adgang til data med henblik på filtrering udgør efter min opfattelse også et indgreb i udøvelsen af de registreredes ret til respekt for privatlivet, uanset hvilken brug der efterfølgende gøres af de gemte oplysninger (130).

261. Overladelse og filtrering af de pågældende oplysninger (131), efterretningsmyndighedernes adgang til disse oplysninger samt den eventuelle opbevaring, analyse og brug af de nævnte oplysninger er i øvrigt omfattet af begrebet »behandling« i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 4, nr. 2), og chartrets artikel 8, stk. 2. Disse behandlinger skal efterfølgende opfylde de krav, der er fastsat i denne sidstnævnte bestemmelse (132).

262. Den overvågning, der foretages i henhold til EO 12333, kan indebære, at efterretningsmyndighederne får direkte adgang til oplysninger i transit, hvilket medfører et indgreb i udøvelsen af den ret, der er sikret ved EMRK’s artikel 8. Ud over dette indgreb udgør den eventuelle senere brug af disse oplysninger også et indgreb.

2) Kravet om, at indgrebene skal være »fastlagt i lovgivningen«

263. Det fremgår af Domstolens praksis (133) og af Menneskerettighedsdomstolens praksis (134), at kravet om, at ethvert indgreb i udøvelsen af de grundlæggende rettigheder skal være »fastlagt i lovgivningen« i den forstand, hvori dette udtryk er anvendt i chartrets artikel 52, stk. 1, og EMRK’s artikel 8, stk. 2, ikke blot indebærer, at den foranstaltning, der fastsætter et indgreb, skal have et retsgrundlag i den nationale lovgivning, men også, at dette retsgrundlag skal have visse kendetegn i form af tilgængelighed og forudsigelighed, således at risikoen for vilkårlighed undgås.

264. De procesdeltagere, der har indgivet skriftlige indlæg til Domstolen, er i denne forbindelse i det væsentlige uenige om, hvorvidt FISA’s section 702 og EO 12333 opfylder betingelsen om, at lovgivningen skal være forudsigelig.

265. Denne betingelse kræver, således som den er blevet fortolket af Domstolen (135) og af Menneskerettighedsdomstolen (136), at en lovgivning, der indebærer et indgreb i udøvelsen af retten til respekt for privatlivet, skal fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning og opstiller en række mindstekrav, således at de registrerede råder over tilstrækkelige garantier, der gør det muligt at beskytte deres oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser de offentlige myndigheder kan opbevare, få adgang til og anvende personoplysninger (137). Det retsgrundlag, der tillader indgrebet, skal i øvrigt selv definere rækkevidden af begrænsningen af udøvelsen af retten til respekt for privatlivet (138).

266. Jeg er i lighed med Maximillian Schrems og EPIC i tvivl om, hvorvidt EO 12333 og PPD 28, der fastsætter garantier, som gælder for samtlige de efterretningsaktiviteter, der vedrører signaltransmissioner (139), er tilstrækkeligt forudsigelige til, at de har »karakter af lovgivning«.

267. Det fremgår udtrykkeligt af disse retsakter, at de registrerede ikke derved tillægges rettigheder, der kan håndhæves (140). De registrerede kan derfor ikke påberåbe sig de garantier, der er fastsat i PPD 28, ved domstolene (141). Kommissionen anførte i øvrigt i afgørelsen om »værnet om privatlivets fred«, at selv om de garantier, der er nævnt i dette præsidentielle direktiv, er bindende for efterretningstjenesterne (142), er de »ikke er formuleret ved brug af […] juridiske begreber« (143). EO 12333 og PPD 28 er snarere at sammenligne med nationale administrative instrukser, som USA’s præsident kan tilbagekalde eller ændre. Menneskerettighedsdomstolen har imidlertid allerede fastslået, at nationale administrative instrukser ikke har karakter af »lovgivning« (144).

268. Hvad angår FISA’s section 702 har Maximillian Schrems bestridt, at denne bestemmelse har en forudsigelig karakter, idet den i forbindelse med valget af de selektorkriterier, der anvendes til at filtrere oplysningerne, ikke fastsætter tilstrækkelige garantier mod risikoen for misbrug. For så vidt som denne problemstilling også vedrører spørgsmålet om, hvorvidt de indgreb, der er fastsat i FISA’s section 702, er nødvendige, vil jeg undersøge den i det følgende (145).

269. Det tredje præjudicielle spørgsmål overlapper den problemstilling, der vedrører overholdelsen af betingelsen om, at der skal foreligge en »lovgivning«. Den forelæggende ret ønsker med dette spørgsmål nærmere bestemt oplyst, om spørgsmålet om, hvorvidt det beskyttelsesniveau, der er sikret i et tredjeland, er tilstrækkeligt, udelukkende skal undersøges i lyset af de retligt bindende regler i dette tredjeland og den praksis, der har til formål at sikre overholdelsen heraf, eller ligeledes i lyset af de forskellige ikke-bindende instrumenter og udenretslige kontrolmekanismer, der anvendes i denne forbindelse.

270. Databeskyttelsesforordningens artikel 45, stk. 2, litra a), indeholder i denne forbindelse en ikke-udtømmende liste over omstændigheder, som Kommissionen skal tage hensyn til ved vurderingen af, om det beskyttelsesniveau, som et tredjeland sikrer, er tilstrækkeligt. Disse omstændigheder omfatter bl.a. den gældende lovgivning og den måde, hvorpå denne lovgivning gennemføres. Denne bestemmelse nævner endvidere betydningen af andre former for normer, såsom faglige regler og sikkerhedsforanstaltninger. Den kræver desuden, at der tages hensyn til »effektive rettigheder […], som kan håndhæves«, og »effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres« (146).

271. Ud fra en samlet betragtning og henset til den ikke-udtømmende karakter af den liste, som den nævnte bestemmelse indeholder, indebærer denne bestemmelse efter min opfattelse, at der i forbindelse med den samlede vurdering af det beskyttelsesniveau, som det pågældende tredjeland sikrer, kan tages hensyn til den praksis eller de instrumenter, der ikke har et tilgængeligt og forudsigeligt retsgrundlag, således at de supplerer de garantier, der er baseret på et retsgrundlag, som i sig selv er tilgængeligt og forudsigeligt. Som Commissioner, Maximillian Schrems, den østrigske regering og EDPB i det væsentlige har anført, kan sådanne instrumenter eller praksisser til gengæld ikke erstatte sådanne garantier og dermed heller ikke selv sikre det krævede beskyttelsesniveau.

3) Om betingelsen om, at der ikke må gøres indgreb i de grundlæggende rettigheders væsentligste indhold

272. Det krav, der er nævnt i chartrets artikel 52, stk. 1, om, at enhver begrænsning af de rettigheder og friheder, der er sikret ved chartret, skal respektere disse rettigheders og friheders væsentligste indhold, indebærer, at når der foretages indgreb i disse rettigheder og friheder, kan dette ikke på nogen måde begrundes i et legitimt formål. Indgrebet anses derfor for at være i strid med chartret, uden at det er fornødent at undersøge, om det er egnet og nødvendigt for at gennemføre det forfulgte formål.

273. Domstolen har i denne forbindelse fastslået, at en national lovgivning, der tillader, at offentlige myndigheder på generel vis får adgang til indholdet af elektronisk kommunikation, udgør et indgreb i selve kernen i retten til respekt for privatlivet, der er sikret ved chartrets artikel 7 (147). Domstolen var til gengæld af den opfattelse, idet den samtidig fremhævede de risici, der er forbundet med adgangen til og analysen af trafik- og lokaliseringsdata (148), at det væsentligste indhold af denne ret ikke påvirkes, når en national lovgivning giver de statslige myndigheder en generel adgang til disse oplysninger (149).

274. FISA’s section 702 kan efter min opfattelse ikke anses for at tillade, at de amerikanske efterretningsmyndigheder på generel vis får adgang til indholdet af elektronisk kommunikation.

275. For det første er efterretningsmyndighedernes mulighed for at tilgå oplysninger med henblik på analyse og eventuel brug nemlig i henhold til FISA’s section 702 begrænset til de oplysninger, der opfylder de selektorkriterier, som vedrører individuelle mål.

276. For det andet kan Upstream-programmet ganske vist indebære en generel adgang til indholdet af elektronisk kommunikation med henblik på at foretage en automatiseret filtrering heraf i de tilfælde, hvor der anvendes selektorer ikke blot på »til«- og »fra«-felter, men også på hele indholdet af kommunikationsstrømmene (søgning, der »vedrører« selektoren) (150). Som Kommissionen har anført, og i modsætning til, hvad Maximillian Schrems og EPIC har hævdet, kan den omstændighed, at efterretningsmyndighederne får midlertidig adgang til hele indholdet af den elektroniske kommunikation alene med henblik på at foretage filtrering ved at anvende selektorkriterier, imidlertid ikke sidestilles med en generel adgang til dette indhold (151). Alvoren af det indgreb, der følger af denne tidsmæssigt begrænsede adgang med henblik på at foretage automatiseret filtrering, har efter min opfattelse ikke samme styrke som alvoren af det indgreb, der følger af, at de offentlige myndigheder gives en generel adgang til dette indhold med henblik analyse og eventuel brug heraf (152). En midlertidig adgang med henblik på at foretage filtrering giver ikke disse myndigheder mulighed for at opbevare de metadata eller det indhold, der vedrører den kommunikation, der ikke opfylder selektorkriterierne, og navnlig heller ikke, således som USA’s regering har anført, at udfærdige profiler på personer, der ikke er omfattet af disse selektorer.

277. Når dette er sagt, er spørgsmålet om, hvorvidt målrettet overvågning ved hjælp af selektorer inden for rammerne af de programmer, der er baseret på FISA’s section 702, effektivt begrænser efterretningsmyndighedernes beføjelser, afhængigt af, hvilke regler der er fastsat for valget af selektorer (153). Maximillian Schrems har i denne forbindelse anført, at amerikansk ret i mangel af en tilstrækkelig kontrol på dette punkt ikke fastsætter garantier mod generel adgang til indholdet af kommunikation allerede på filtreringstidspunktet og derfor medfører et indgreb i selve kernen i de registreredes ret til respekt for privatlivet.

278. Som jeg detaljeret vil redegøre for nedenfor (154), er jeg tilbøjelig til at dele denne tvivl med hensyn til, om de regler, der er fastsat for valget af selektorer, er tilstrækkelige til at opfylde kriterierne om, at indgrebene skal være forudsigelige og forholdsmæssige. Eksistensen af disse regler, uanset hvor ufuldstændige de end måtte være, er imidlertid til hinder for den konklusion, at FISA’s section 702 giver de offentlige myndigheder en generel adgang til indholdet af elektronisk kommunikation, og at den derfor medfører et indgreb i selve kernen i den rettighed, der er fastsat i chartrets artikel 7.

279. Jeg vil endvidere nævne, at Domstolen i udtalelse 1/15 fastslog, at det væsentligste indhold af den i chartrets artikel 8 garanterede ret til beskyttelse af personoplysninger er sikret, når formålene med behandlingen er afgrænsede, og når der for behandlingen er fastsat regler, med hvilke det tilsigtes at beskytte bl.a. sikkerheden, fortroligheden og integriteten med hensyn til oplysningerne og beskytte disse mod ulovlig adgang og behandling (155).

280. I afgørelsen om »værnet om privatlivets fred« konstaterede Kommissionen, at såvel FISA’s section 702 som PPD 28 afgrænser de formål, hvortil der i forbindelse med de programmer, der gennemføres i henhold til FISA’s section 702, kan indsamles oplysninger (156). Kommissionen nævnte i denne afgørelse endvidere, at PPD 28 fastsætter regler, der regulerer adgangen til samt opbevaringen og udbredelsen af oplysninger med henblik på at garantere sikkerheden af disse oplysninger og at beskytte dem mod ulovlig adgang (157). Som det vil fremgå af min redegørelse nedenfor (158), er jeg navnlig i tvivl om, hvorvidt formålene med de omhandlede behandlinger er defineret med tilstrækkelig klarhed og præcision til at sikre et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der gælder i Unionens retsorden. Disse eventuelle svagheder er efter min opfattelse imidlertid ikke tilstrækkelige til at begrunde en konstatering af, at sådanne programmer, såfremt de blev gennemført i Unionen, ville udgøre et indgreb i det væsentligste indhold af retten til beskyttelse af personoplysninger.

281. Jeg erindrer i øvrigt om, at spørgsmålet om, hvorvidt det beskyttelsesniveau, der er sikret i forbindelse med de overvågningsaktiviteter, der udføres i henhold til EO 12333, er tilstrækkeligt, skal vurderes i lyset af bestemmelserne i EMRK. Det fremgår i denne forbindelse af afgørelsen om »værnet om privatlivets fred«, at de eneste begrænsninger, der er fastsat for gennemførelsen af foranstaltninger i henhold til EO 12333 med henblik på at indsamle oplysninger om ikke-amerikanske personer, er de begrænsninger, der er fastsat i PPD 28 (159). Dette præsidentielle direktiv bestemmer, at brugen af udenlandske efterretninger skal være »så målrettet som mulig«. Dette præsidentielle direktiv foreskriver imidlertid udtrykkeligt muligheden for at foretage »masseindsamling« af oplysninger uden for det amerikanske område med henblik på at forfølge visse særlige formål, der vedrører den nationale sikkerhed (160). Bestemmelserne i PPD 28, der i øvrigt ikke skaber rettigheder for privatpersoner, beskytter efter Maximillian Schrems’ opfattelse ikke de registrerede mod risikoen for, at der gives en generel adgang til indholdet af deres elektroniske kommunikation.

282. Jeg vil i denne forbindelse blot nævne, at Menneskerettighedsdomstolen i sin praksis om EMRK’s artikel 8 ikke har anvendt begrebet indgreb i det væsentligste indhold af eller i selve kernen i retten til respekt for privatlivet (161). Denne domstol har hidtil ikke fastslået, at ordninger, der gør det muligt at fortage selv omfattende opfangning af elektronisk kommunikation, som sådan går ud over grænserne for medlemsstaternes skønsbeføjelse. Menneskerettighedsdomstolen er af den opfattelse, at sådanne ordninger er forenelige med EMRK’s artikel 8, stk. 2, for så vidt som de ledsages af en række minimumsgarantier (162). Under disse omstændigheder forekommer det mig ikke passende at konkludere, at en overvågningsordning såsom den, der er fastsat i EO 12333, overskrider grænserne for medlemsstaternes skønsbeføjelse, uden at der på nogen måde er foretaget en undersøgelse af de eventuelle garantier, der ledsager denne ordning.

4) Om forfølgelsen af et lovligt formål

283. Det fremgår af chartrets artikel 52, stk. 1, at enhver begrænsning i udøvelsen af de rettigheder, der er fastsat deri, faktisk skal svare til mål af almen interesse, der er anerkendt af Unionen. Chartrets artikel 8, stk. 2, bestemmer endvidere, at enhver behandling af personoplysninger, der ikke foretages på grundlag af et samtykke fra den registrerede, skal ske på et »ved lov fastsat grundlag«. EMRK’s artikel 8, stk. 2, indeholder en opregning af de formål, der kan begrunde et indgreb i udøvelsen af retten til respekt for privatlivet.

284. Det fremgår af afgørelsen om »værnet om privatlivets fred«, at det er muligt at begrænse den tilslutning til de principper, der er nævnt deri, når det sker for at opfylde forpligtelser, der vedrører den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen (163). I 67.-124. betragtning til denne afgørelse foretages en mere indgående undersøgelse af de begrænsninger, der følger af de amerikanske offentlige myndigheders adgang til og brug af oplysninger af hensyn til den nationale sikkerhed.

285. Det er ubestridt, at beskyttelsen af den nationale sikkerhed udgør et legitimt formål, der kan begrunde undtagelser fra de krav, der følger af databeskyttelsesforordningen (164), de grundlæggende rettigheder, der er fastsat i chartrets artikel 7 og 8 (165), og EMRK’s artikel 8, stk. 2. Maximillian Schrems, den østrigske regering og EPIC har imidlertid anført, at de formål, der forfølges inden for rammerne af de overvågningsprogrammer, der er baseret på FISA’s section 702 og EO 12333, vedrører mere end blot den nationale sikkerhed. Disse retsakter har nemlig til formål at indsamle »udenlandske efterretninger«, idet dette begreb dækker forskellige former for information, der omfatter oplysninger om den nationale sikkerhed, uden dog at være begrænset hertil (166). Begrebet »udenlandske efterretninger« som omhandlet i FISA’s section 702 omfatter således de oplysninger, der vedrører håndteringen af udenrigsanliggender (167). I EO 12333 defineres dette begreb således, at det omfatter oplysninger, der vedrører udenlandske regeringers, udenlandske organisationers og udenlandske personers evner, hensigter og aktiviteter (168). Maximillian Schrems har rejst tvivl om, hvorvidt det således omhandlede formål er legitimt, for så vidt som det vedrører mere end den nationale sikkerhed.

286. Området for den nationale sikkerhed kan efter min opfattelse i et vist omfang omfatte beskyttelsen af de interesser, der vedrører håndteringen af udenrigsanliggender (169). Det er i øvrigt ikke helt udelukket, at visse andre formål end beskyttelsen af den nationale sikkerhed, der er omfattet af begrebet »udenlandske efterretninger«, således som dette begreb er defineret i FISA’s section 702 og EO 12333, kan svare til væsentlige mål af almen interesse, der kan begrunde et indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger. Disse formål vil under alle omstændigheder blive tillagt mindre vægt end beskyttelsen af den nationale sikkerhed, når der skal foretages en afvejning mellem de registreredes grundlæggende rettigheder og det formål, der forfølges med indgrebet (170).

287. Det er i henhold til chartrets artikel 52, stk. 1, imidlertid fortsat nødvendigt, at den nationale sikkerhed eller et andet legitimt formål faktisk forfølges med de foranstaltninger, der fastsætter de omhandlede indgreb (171). Formålene med indgrebene skal endvidere beskrives således, at de opfylder kravene om klarhed og præcision (172).

288. Maximillian Schrems er imidlertid af den opfattelse, at formålet med de overvågningsforanstaltninger, der er fastsat i FISA’s section 702 og i EO 12333, ikke er beskrevet med en præcision, der er tilstrækkelig til at overholde garantierne om forudsigelighed og forholdsmæssighed. Det forholder sig navnlig således, for så vidt som disse retsakter indeholder en meget bred definition af begrebet »udenlandske efterretninger«. Kommissionen konstaterede endvidere i 109. betragtning til afgørelsen om »værnet om privatlivets fred«, at FISA’s section 702 kræver, at indsamling af udenlandske efterretningsoplysninger udgør »et væsentligt formål« med indsamlingen, idet denne formulering ikke umiddelbart, og således som EPIC har anført, udelukker, at det er muligt at forfølge andre ikke-fastlagte formål.

289. Der kan af disse grunde, og uden at det er udelukket, at de overvågningsforanstaltninger, der foretages i henhold til FISA’s section 702 og EO 12333, opfylder legitime formål, spørges, om disse foranstaltninger er defineret tilstrækkelig klart og præcist til at forebygge risikoen for misbrug og til at gøre det muligt at undersøge, om de indgreb, der følger deraf, er forholdsmæssige (173).

5) Hvorvidt indgrebene er nødvendige og forholdsmæssige

290. Domstolen har gentagne gange fastslået, at de rettigheder, der er sikret ved chartrets artikel 7 og 8, ikke udgør absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet (174). Som Facebook Ireland har anført, indgår retten til sikkerhed, der er sikret ved chartrets artikel 6, blandt disse andre rettigheder.

291. Det fremgår i denne forbindelse af en lige så fast retspraksis, at ethvert indgreb i udøvelsen af de rettigheder, der er sikret ved chartrets artikel 7 og 8, skal gøres til genstand for en streng proportionalitetsprøvelse (175).

292. Det fremgår navnlig af Schrems-dommen, at »[e]n lovgivning, der på generel vis tillader opbevaring af samtlige […]oplysninger […], uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, og uden at der bliver fastsat noget objektivt kriterium, som gør det muligt at afgrænse de offentlige myndigheders adgang til oplysningerne og deres senere anvendelse heraf med henblik på veldefinerede formål, der er strengt begrænsede, og som kan begrunde det indgreb, som såvel adgangen til disse oplysninger som anvendelsen heraf indebærer, er således ikke begrænset til det strengt nødvendige« (176).

293. Domstolen har desuden fastslået, at adgangen, undtagen i behørigt begrundede hastende tilfælde, skal undergives en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, hvis afgørelse har til formål at begrænse adgangen til oplysningerne og deres senere anvendelse til, hvad der er strengt nødvendigt til at nå det forfulgte mål (177).

294. Databeskyttelsesforordningens artikel 23, stk. 2, fastsætter nu en række garantier, som en medlemsstat skal indføre bestemmelse om, såfremt den fraviger bestemmelserne i denne forordning. En lovgivning, der foreskriver en sådan undtagelse, skal indeholde bestemmelser, der bl.a. vedrører formålene med behandlingen, undtagelsens rækkevidde, de garantier, som har til formål at forhindre misbrug, opbevaringens varighed og de registreredes ret til at blive underrettet om undtagelsen, medmindre dette indebærer en risiko for, at formålet med undtagelsen bringes i fare.

295. I det foreliggende tilfælde har Maximillian Schrems anført, at FISA’s section 702 ikke er ledsaget af tilstrækkelige garantier mod risikoen for misbrug og risikoen for, at der opnås ulovlig adgang til oplysningerne. Der er navnlig ikke fastsat tilstrækkelige regler for valget af selektorkriterier, hvilket indebærer, at denne bestemmelse ikke giver garantier mod, at der opnås en generel adgang til indholdet af kommunikation.

296. USA’s regering og Kommissionen har derimod anført, at FISA’s section 702 begrænser de objektive kriterier for valget af selektorer, idet denne bestemmelse udelukkende gør det muligt at indsamle elektroniske kommunikationsoplysninger, der vedrører ikke-amerikanske personer, som befinder sig uden for USA, med henblik på at indsamle udenlandske efterretningsoplysninger.

297. Der kan efter min opfattelse rejses tvivl om, hvorvidt disse kriterier er tilstrækkeligt klare og præcise, og om der foreligger garantier, der er tilstrækkelige til at forebygge risikoen for misbrug.

298. For det første fremgår det af 109. betragtning til afgørelsen om »værnet om privatlivets fred«, at hverken FISC eller et andet uafhængigt retsligt eller administrativt organ godkender selektorerne enkeltvis, før de anvendes. Kommissionen konstaterede i denne betragtning, at »FISC […] ikke [tillader] individuelle overvågningsforanstaltninger, men overvågningsprogrammer […] på grundlag af årlige certificeringer«, hvilket USA’s regering har bekræftet over for Domstolen. Det præciseres i denne betragtning, at »de certificeringer, der skal godkendes af FISC, [ikke indeholder] oplysninger om de enkelte personer, der skal overvåges, men identificerer derimod kategorier af udenlandske efterretningsoplysninger«, der kan indsamles. Kommissionen konstaterede endvidere i denne betragtning, at »FISC – på grundlag af en begrundet mistanke eller enhver anden standard – [ikke] vurderer, [om] fysiske personer […] er velegnede mål for indsamling af udenlandske efterretningsoplysninger«, selv om den undersøger betingelsen om, at »et væsentligt formål med indsamlingen er at indhente udenlandske efterretningsoplysninger«.

299. Det fremgår endvidere af den nævnte betragtning, at FISA’s section 702 kun giver NSA mulighed for at indsamle kommunikation, »hvis det med rimelighed kan antages, at et bestemt kommunikationsmiddel anvendes til at kommunikere udenlandske efterretningsoplysninger«. Det tilføjes i 70. betragtning til afgørelsen om »værnet om privatlivets fred«, at valget af selektorer sker inden for rammerne af prioriteterne for den nationale efterretningsindsats (National Intelligence Priorities Framework, NIPF). I denne afgørelse er der ikke nævnt mere præcise krav til de forklaringer eller den begrundelse, der i lyset af disse administrative prioriteter, som påhviler NSA, skal gives for valget af selektorer (178).

300. Endelig er der i 71. betragtning til afgørelsen om »værnet om privatlivets fred« henvist til det krav, der er fastsat i PPD 28, om, at indsamlingen af udenlandske efterretninger skal være »så målrettet som muligt«. Ud over den omstændighed, at dette præsidentielle direktiv ikke skaber rettigheder for privatpersoner, er det er efter min opfattelse langt fra indlysende, at kriteriet om, at en aktivitet skal være »så målrettet som muligt«, i det væsentlige svarer til det kriterium om »streng nødvendighed«, der i henhold til chartrets artikel 52, stk. 1, skal være opfyldt for at kunne begrunde et indgreb i udøvelsen af de rettigheder, der er sikret ved chartrets artikel 7 og 8 (179).

301. På baggrund af disse betragtninger er det, når der henses til de elementer, der er redegjort for i afgørelsen om »værnet om privatlivets fred«, ikke sikkert, at de overvågningsforanstaltninger, der er baseret på FISA’s section 702, er ledsaget af garantier, der vedrører begrænsningen af, hvilke personer der kan gøres til genstand for en overvågningsforanstaltning, og hvilke formål der kan indsamles oplysninger til, og som i det væsentlige svarer til de garantier, der kræves i henhold til databeskyttelsesforordningen, sammenholdt med chartrets artikel 7 og 8 (180).

302. Hvad i øvrigt angår vurderingen af, om det beskyttelsesniveau, der gælder for overvågning, som foretages i henhold til EO 12333, er tilstrækkeligt, indrømmer Menneskerettighedsdomstolen medlemsstaterne en bred skønsbeføjelse i forbindelse med valget af de midler, der anvendes til at beskytte deres nationale sikkerhed, idet denne beføjelse dog begrænses af kravet om at fastsætte garantier, der er tilstrækkelige og passende til at sikre mod misbrug (181). Menneskerettighedsdomstolen har i sin praksis vedrørende hemmelige overvågningsforanstaltninger undersøgt, om den nationale lovgivning, som disse foranstaltninger er baseret på, indeholder tilstrækkelige og effektive garantier og sikkerhedsmekanismer, der er egnede til at opfylde kravet om »forudsigelighed« og kravet om »nødvendighed i et demokratisk samfund« (182).

303. Menneskerettighedsdomstolen har i denne forbindelse opstillet en række minimumsgarantier. Disse garantier vedrører kravet om en klar angivelse af de overtrædelser, der kan give anledning til en kendelse om aflytning, definitionen af de kategorier af personer, hvis kommunikation kan blive aflyttet, fastsættelsen af en grænse for, hvor længe foranstaltningen kan gennemføres, den procedure, der skal følges i forbindelse med undersøgelsen, brugen og opbevaringen af de indsamlede oplysninger, de forholdsregler, der skal træffes i forbindelse med videregivelse af oplysninger til andre personer, og de omstændigheder, hvorunder der kan eller skal ske sletning eller tilintetgørelse af optagelserne (183).

304. Spørgsmålet om, hvorvidt de garantier, der gælder for indgrebet, er tilstrækkelige og effektive, afhænger af alle sagens omstændigheder, herunder foranstaltningernes art, omfang og varighed, de grunde, der kræves for at stille dem, de myndigheder, der er kompetente til at indrømme, gennemføre og føre tilsyn med dem, og arten af det retsmiddel, der findes i den nationale lovgivning (184).

305. Menneskerettighedsdomstolen tager i forbindelse med vurderingen af, om en hemmelig overvågningsforanstaltning er begrundet, navnlig hensyn til hele den kontrol, der gennemføres »when the surveillance is ordered«, »while it is being carried out« og »after it has been terminated« (185). Hvad angår det første af disse tre stadier er det ifølge Menneskerettighedsdomstolen et krav, at en sådan foranstaltning godkendes af et uafhængigt organ. Selv om den dømmende magt efter Menneskerettighedsdomstolens opfattelse giver de bedste garantier for uafhængighed, upartiskhed og en lovlig procedure, skal det pågældende organ ikke nødvendigvis tilhøre retssystemet (186). En grundig domstolsprøvelse, der foretages på et senere tidspunkt, kan opveje de eventuelle mangler ved godkendelsesproceduren (187).

306. I det foreliggende tilfælde fremgår det af afgørelsen om »værnet om privatlivets fred«, at de eneste garantier, der begrænser indsamlingen og brugen af oplysninger uden for USA’s område, er indeholdt i PPD 28, idet FISA’s section 702 ikke finder anvendelse uden for dette område. Jeg er ikke overbevist om, at disse garantier er tilstrækkelige til at opfylde betingelserne om »forudsigelighed« og om »nødvendighed i et demokratisk samfund«.

307. For det første har jeg allerede nævnt, at dette præsidentielle direktiv ikke skaber rettigheder for privatpersoner. Jeg er endvidere i tvivl om, hvorvidt kravet om at sikre en overvågning, der er »så målrettet som muligt«, er formuleret på en måde, der er tilstrækkelig klar og præcis til at yde de registrerede en passende beskyttelse mod risikoen for misbrug (188). Endelig fremgår det ikke af afgørelsen om »værnet om privatlivets fred«, at den overvågning, der er baseret på EO 12333, er undergivet en forudgående kontrol ved et uafhængigt organ, eller at den kan gøres til genstand for en efterfølgende domstolsprøvelse (189).

308. Under disse omstændigheder stiller jeg mig tvivlende over for rigtigheden af konstateringen om, at USA i forbindelse med de aktiviteter, som dets efterretningstjenester udfører i henhold til FISA’s section 702 og EO 12333, sikrer et tilstrækkeligt beskyttelsesniveau i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7 og 8 og EMRK’s artikel 8.

c) Hvorvidt afgørelsen om »værnet om privatlivets fred« er gyldig i lyset af retten til adgang til effektive retsmidler

309. Med det femte præjudicielle spørgsmål anmodes Domstolen om at fastslå, om de personer, hvis oplysninger overføres til USA, i dette land er omfattet af en domstolsbeskyttelse, der i det væsentlige svarer til den beskyttelse, der er sikret i Unionen i henhold til chartrets artikel 47. Den forelæggende ret har med det tiende spørgsmål nærmere bestemt anmodet Domstolen om at oplyse, om det femte spørgsmål skal besvares bekræftende, når der henses til den ombudsmandsmekanisme, der er indført ved afgørelsen om »værnet om privatlivets fred«.

310. Jeg skal indledningsvis konstatere, at det af 115. betragtning til denne afgørelse fremgår, at Kommissionen er af den opfattelse, at den domstolsbeskyttelse, der i det amerikanske retssystem indrømmes privatpersoner, er mangelfuld.

311. Det fremgår for det første af denne betragtning, at »i hvert fald nogle af de retsgrundlag, som de amerikanske efterretningsmyndigheder kan anvende (f.eks. EO 12333), ikke er omfattet« af adgangen til retsmidler. De registrerede er nemlig ikke tillagt rettigheder ved EO 12333 og PPD 28 og kan ikke påberåbe sig disse retsakter for domstolene. En effektiv domstolsbeskyttelse forudsætter imidlertid i det mindste, at borgeren er tillagt rettigheder, der kan påberåbes for en domstol.

312. For det andet, »selv når ikke-amerikanske personer i princippet har klageadgang, f.eks. i forbindelse med overvågning i henhold til FISA, er de tilgængelige klagemuligheder desuden begrænsede, og søgsmål fra registrerede […] vil blive afvist, hvis de ikke kan dokumentere deres søgsmålskompetence (»standing«), hvilket begrænser adgangen til almindelige domstole«.

313. Det fremgår af 116.-124. betragtning til afgørelsen om »værnet om privatlivets fred«, at oprettelsen af en ombudsmandsfunktion har til formål at afhjælpe disse begrænsninger. Kommissionen konkluderede i 139. betragtning til denne afgørelse, at »mekanismerne for tilsyn og klageadgang i værnet om privatlivets fred [samlet set] sikre[r de] registrerede retsmidler med henblik på at få adgang til personoplysninger, som vedrører de pågældende, eller til at få sådanne oplysninger berigtiget eller slettet« (min fremhævelse).

314. Jeg vil under henvisning til de generelle principper, der kan udledes af Domstolens og Menneskerettighedsdomstolens praksis vedrørende retten til retsmidler mod foranstaltninger til overvågning af kommunikation, undersøge, om de retsmidler, der er fastsat i amerikansk ret, således som disse er beskrevet i afgørelsen om »værnet om privatlivets fred«, gør det muligt at sikre en tilstrækkelig domstolsbeskyttelse for de registrerede [afsnit 1)]. Jeg vil derefter tage stilling til, om oprettelsen af en udenretslig ombudsmandsmekanisme i givet fald gør det muligt at afhjælpe de mangler, der kendetegner domstolsbeskyttelsen for disse personer [afsnit 2)].

1) Om effektiviteten af de retsmidler, der er fastsat i amerikansk ret

315. Chartrets artikel 47, stk. 1, fastsætter for det første, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol (190). Denne artikels stk. 2 fastsætter, at enhver har ret til en rettergang for en uafhængig og upartisk domstol (191). Adgangen til en uafhængig domstol udgør en del af det væsentligste indhold af den ret, der er sikret ved chartrets artikel 47 (192).

316. Denne ret til individuelle retsmidler gælder ved siden af den pligt, der påhviler medlemsstaterne i henhold til chartrets artikel 7 og 8, til undtagen i behørigt begrundede hastende tilfælde at undergive enhver overvågningsforanstaltning en forudgående kontrol ved enten en domstol eller en uafhængig administrativ myndighed (193).

317. Som den tyske og den franske regering har anført, udgør retten til effektive retsmidler ganske vist ikke en absolut garanti (194), idet denne rettighed kan begrænses af hensyn til den nationale sikkerhed. Det er imidlertid kun tilladt at foretage undtagelser, for så vidt som sådanne undtagelser ikke udgør et indgreb i det væsentligste indhold af denne rettighed, og for så vidt som de er strengt nødvendige for virkeliggørelsen af et legitimt formål.

318. Domstolen fastslog i denne forbindelse i Schrems-dommen, at en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke opfylder det væsentligste indhold af den grundlæggende ret, der er sikret ved chartrets artikel 47 (195).

319. Jeg vil nævne, at denne ret til indsigt indebærer, at en person har ret til at få de offentlige myndigheders bekræftelse på, om de behandler personoplysninger vedrørende den pågældende, med forbehold af de undtagelser, der er strengt nødvendige for at forfølge en legitim interesse (196). Dette er efter min opfattelse den praktiske rækkevidde af retten til indsigt, når den registrerede ikke har kendskab til, om de offentlige myndigheder har opbevaret den pågældendes personoplysninger bl.a. efter, at der er gennemført en automatiseret filtreringsproces af de elektroniske kommunikationsstrømme.

320. Det fremgår i øvrigt af retspraksis, at en medlemsstats myndigheder i princippet har pligt til at give underretning om oplysningerne, så snart denne underretning ikke kan skade den efterforskning, der gennemføres (197). En sådan underretning udgør nemlig en forudsætning for udøvelsen af retten til retsmidler i henhold til chartrets artikel 47 (198). Denne forpligtelse er nu gentaget i databeskyttelsesforordningens artikel 23, stk. 2, litra h).

321. I 111.-135. betragtning til afgørelsen om »værnet om privatlivets fred« er der givet en kortfattet redegørelse for alle de retsmidler, der er tilgængelige for de personer, hvis oplysninger er blevet overført, såfremt de måtte være bekymrede for, at de amerikanske efterretningstjenester har behandlet deres oplysninger efter overførslen. Disse retsmidler er endvidere beskrevet i dom afsagt af High Court (ret i første instans) den 3. oktober 2017, og i bl.a. USA’s regerings skriftlige indlæg.

322. Det er ikke nødvendigt i detaljer at gengive indholdet af disse redegørelser. Den forelæggende ret har nemlig rejst tvivl om, hvorvidt de garantier, der vedrører de registreredes retsbeskyttelse, er tilstrækkelige, hovedsageligt med den begrundelse, at de særligt strenge krav til søgsmålskompetence (standing) (199) i kombination med manglen på enhver form for pligt til at underrette de personer, der har været genstand for en overvågningsforanstaltning, selv i de tilfælde, hvor underretningen ikke vil bringe formålene med denne foranstaltning i fare, i praksis vil gøre det uforholdsmæssigt vanskeligt at udøve de retsmidler, der er fastsat i amerikansk ret. Commissioner, Maximillian Schrems, den østrigske, den polske og den portugisiske regering samt EDPB deler denne tvivl (200).

323. Jeg vil i denne forbindelse begrænse mig til at nævne, at reglerne om søgsmålskompetence ikke må berøre den effektive retsbeskyttelse (201), og til at konstatere, at der i afgørelsen om »værnet om privatlivets fred« ikke er nævnt noget krav om, at de registrerede skal underrettes om, at de har været genstand for en overvågningsforanstaltning (202). Eftersom den manglende pligt til at give underretning om en sådan foranstaltning vil kunne være til hinder for udøvelsen af retsmidlerne, synes den, selv når underretning af den registrerede ikke længere vil bringe foranstaltningens effektivitet i fare, problematisk i lyset af den retspraksis, der er nævnt i punkt 320 i dette forslag til afgørelse.

324. I fodnote 169 til afgørelsen om »værnet om privatlivets fred« anerkendes endvidere, at de tilgængelige procedurer er »betinget af, at der er lidt skade […], eller dokumentation for, at regeringen agter at bruge eller videregive oplysninger indhentet ved eller udledt af elektronisk overvågning af den pågældende«. Som den forelæggende ret, Commissioner og Maximillian Schrems har anført, står dette krav i modsætning til Domstolens praksis, hvorefter det ved afgørelsen af, om der foreligger et indgreb i retten til respekt for den registreredes privatliv, er uden betydning, om indgrebet har medført eventuelle ubehageligheder for den pågældende (203).

325. Det af Facebook Ireland og USA’s regering fremsatte synspunkt om, at de svagheder, der kendetegner retsbeskyttelsen for de personer, hvis oplysninger overføres til USA, afhjælpes ved den forudgående og efterfølgende kontrol, som FISC foretager, og ved de mange overvågningsmekanismer, der er opretrettet inden for den udøvende og den dømmende magt (204), er efter min opfattelse ikke overbevisende.

326. For det første har jeg allerede nævnt, at FISC, således som det fremgår af konstateringerne i afgørelsen om »værnet om privatlivets fred«, ikke kontrollerer de individuelle overvågningsforanstaltninger, før de gennemføres(205). Som det fremgår af 109. betragtning til denne afgørelse, og som USA’s regering har bekræftet i sit skriftlige svar på spørgsmål fra Domstolen, har den efterfølgende kontrol af anvendelsen af selektorer for det andet til formål, når en efterretningstjeneste (206) gør FISC opmærksom på en situation, der kan indebære en tilsidesættelse af målretnings- og minimeringsprocedurerne, at undersøge, om de betingelser, der regulerer valget af selektorer, og som fastsættes i forbindelse med den årlige certificering, er overholdt. Den procedure, der gennemføres for FISC, synes derfor ikke at tilvejebringe effektive individuelle retsmidler for de personer, hvis oplysninger er blevet overført til USA.

327. Selv om de udenretslige kontrolmekanismer, der er nævnt i 95.-110. betragtning til afgørelsen om »værnet om privatlivets fred«, i givet fald kan styrke adgangen til eventuelle retsmidler, er de efter min opfattelse ikke tilstrækkelige til at sikre et tilstrækkeligt beskyttelsesniveau for de registreredes ret til retsmidler. De generalinspektører, der tilhører den interne struktur inden for hver enkelt tjeneste, udgør efter min opfattelse navnlig ikke uafhængige kontrolmekanismer. Det tilsyn, som PCLOB og Kongressens efterretningsudvalg udfører, har ikke karakter af en mekanisme, der sikrer et individuelt retsmiddel mod overvågningsforanstaltninger.

328. Det skal derfor undersøges, om oprettelsen af ombudsmandsinstitutionen afhjælper disse mangler ved at give de registrerede adgang til et effektivt retsmiddel for et uafhængigt og upartisk organ(207).

329. For det andet erindrer jeg om, at det relevante referencegrundlag for vurderingen af, om den konstatering af tilstrækkeligheden af beskyttelsesniveauet, der er foretaget i afgørelsen om »værnet om privatlivets fred«, er begrundet, når der henses til de retsmidler, der er tilgængelige for de personer, som mener at have været udsat for overvågning i henhold til EO 12333, findes i EMRK’s bestemmelser.

330. Som anført ovenfor(208) foretager Menneskerettighedsdomstolen i forbindelse med vurderingen af, om en overvågningsforanstaltning opfylder betingelserne om »forudsigelighed« og om »nødvendighed i et demokratisk samfund« som omhandlet i EMRK’s artikel 8, stk. 2 (209), en undersøgelse af samtlige de kontrol- og tilsynsmekanismer, der er gennemført »før, under og efter« foranstaltningens gennemførelse. Når det ikke er muligt at udøve et individuelt retsmiddel som følge af, at der ikke kan ske underretning af overvågningsforanstaltningen uden at bringe effektiviteten heraf (210) i fare, kan denne mangel opvejes ved at gennemføre en uafhængig kontrol forud for anvendelsen af den omhandlede foranstaltning (211). Selv om Menneskerettighedsdomstolen måtte anse en sådan underretning for »ønskelig«, så længe den kan ske uden at påvirke overvågningsforanstaltningens effektivitet, har den således ikke opstillet dette som et krav (212).

331. Det fremgår i denne forbindelse ikke af afgørelsen om »værnet om privatlivets fred«, at de registrerede vil modtage underretning om de overvågningsforanstaltninger, der foretages i henhold til EO 12333, eller at der på et eller andet tidspunkt i forbindelse med vedtagelsen eller gennemførelsen af disse foranstaltninger vil blive opstillet uafhængige retslige eller administrative kontrolmekanismer.

332. Det skal under disse omstændigheder undersøges, om klageadgangen til ombudsmanden ikke desto mindre gør det muligt at sikre en uafhængig kontrol af overvågningsforanstaltningerne, herunder når de er vedtaget på grundlag af EO 12333.

2) Om ombudsmandsmekanismes betydning for beskyttelsesniveauet for retten til effektive retsmidler

333. Det fremgår af 116. betragtning til afgørelsen om »værnet om privatlivets fred«, at den ombudsmandsmekanisme, der er beskrevet i bilag III A til denne afgørelse, har til formål at give samtlige de personer, hvis oplysninger overføres fra Unionen til USA, supplerende retsmidler.

334. Som USA’s regering har anført, er det, for at en klage, der er indgivet til ombudsmanden, kan antages til realitetsbehandling, ikke et krav, at regler om søgsmålskompetence, der svarer til dem, som regulerer adgangen til de amerikanske domstole, er opfyldt. Det præciseres i denne forbindelse i 119. betragtning til den nævnte afgørelse, at klageadgangen til ombudsmanden ikke forudsætter, at den registrerede kan godtgøre, at USA’s regering har tilgået personoplysninger, der vedrører den pågældende.

335. Jeg er i lighed med Commissioner, Maximillian Schrems, den polske og den portugisiske regering samt EPIC, i tvivl om, hvorvidt denne mekanisme kan afhjælpe de utilstrækkeligheder, der kendetegner den retsbeskyttelse, der indrømmes de personer, hvis oplysninger overføres fra Unionen til USA.

336. For det første, selv om en udenretslig klagemekanisme kan udgøre et effektivt retsmiddel som omhandlet i artikel 47 TEUF, er dette kun tilfældet, for så vidt som det pågældende organ bl.a. er oprettet i henhold til lov og opfylder betingelsen om uafhængighed (213).

337. Det fremgår imidlertid af afgørelsen om »værnet om privatlivets fred«, at eftersom ombudsmekanismen udspringer af PPD 28 (214), er den ikke oprettet i henhold til lov. Ombudsmanden udpeges af udenrigsministeren og udgør en del af det amerikanske udenrigsministerium (215). Denne afgørelse indeholder ingen oplysninger om, at en nedlæggelse af ombudsmandsfunktionen eller en tilbagekaldelse af udpegningen er omfattet af særlige garantier (216). Selv om ombudsmanden beskrives som uafhængig af »efterretningsmiljøet«, refererer ombudsmanden til udenrigsministeren og er derfor ikke uafhængig af den udøvende magt (217).

338. Effektiviteten af et udenretslig retsmiddel afhænger endvidere efter min opfattelse også af det pågældende organs mulighed for at vedtage bindende og begrundede afgørelser. Afgørelsen om »værnet om privatlivets fred« indeholder på dette punkt ingen oplysninger om, at ombudsmanden skal træffe sådanne afgørelser. Det fremgår ikke heraf, at oprettelsen af ombudsmandsinstitutionen vil give klagerne mulighed for at få indsigt i de oplysninger, der vedrører dem, og mulighed for at berigtige eller slette sådanne oplysninger, og heller ikke, at ombudsmanden vil yde kompensation til de personer, der er blevet krænket som følge af en overvågningsforanstaltning. Som det fremgår af punkt 4, litra e), i bilag III A til denne afgørelse, vil »[o]mbudsmanden […] hverken bekræfte eller benægte, at den pågældende har været et overvågningsmål, og ombudsmanden […] vil heller ikke oplyse, hvilket specifikt retsmiddel der blev anvendt« (218). Selv om USA’s regering har forpligtet sig til at sikre, at den relevante enhed inden for efterretningstjenesterne pålægges at bringe enhver tilsidesættelse af de gældende regler, som ombudsmanden (219) måtte konstatere, til ophør, indeholder den nævnte afgørelse ikke en redegørelse for de lovbestemte garantier, der vil ledsage denne forpligtelse, og som de berørte personer således kan påberåbe sig.

339. Oprettelsen af ombudsmandsinstitutionen tilvejebringer efter min opfattelse derfor ikke et retsmiddel for et uafhængigt organ, der giver de personer, hvis oplysninger overføres, en mulighed for at gøre deres ret til indsigt gældende, eller for at anfægte efterretningstjenesternes eventuelle tilsidesættelse af de gældende regler.

340. Endelig fremgår det af retspraksis, at overholdelsen af den ret, der er sikret ved chartrets artikel 47, således forudsætter, at en afgørelse fra denne administrative myndighed, der ikke selv opfylder betingelsen om uafhængighed, undergives en efterfølgende kontrol af et retsligt organ, der skal have kompetence til at undersøge alle relevante spørgsmål (220). Det fremgår imidlertid af oplysningerne i afgørelsen om »værnet om privatlivets fred«, at ombudsmandens afgørelser ikke kan gøres til genstand for en uafhængig domstolsprøvelse.

341. Som Commissioner, Maximilian Schrems, EPIC og den polske og den portugisiske regering har anført, er det under disse omstændigheder efter min opfattelse tvivlsomt, om den retsbeskyttelse, der i USA’s retsorden er tillagt de personer, hvis oplysninger overføres til dette land fra Unionen, i det væsentlig svarer til den beskyttelse, der følger af databeskyttelsesforordningen, sammenholdt med chartrets artikel 47 og EMRK’s artikel 8.

342. På baggrund af samtlige de ovenfor anførte betragtninger nærer jeg en vis tvivl med hensyn til, om afgørelsen om »værnet om privatlivets fred« er forenelig med databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7, 8 og 47 og EMRK’s artikel 8.

V. Forslag til afgørelse

343. Jeg foreslår Domstolen at besvare de af High Court (ret i første instans, Irland) forelagte præjudicielle spørgsmål som følger:

»Vurderingen af de præjudicielle spørgsmål har intet frembragt, der kan anfægte gyldigheden af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016.«

1 – Originalsprog: fransk.

2 – Jf. artikel 45 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

3 – Jf. databeskyttelsesforordningens artikel 46.

4 – Jf. databeskyttelsesforordningens artikel 49.

5 – Kommissionens afgørelse af 5.2.2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT 2010, L 39, s. 5), som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16.12.2016 (EUT 2016, L 344, s. 100) (herefter »afgørelse 2010/87«).

6 – Kommissionens afgørelse af 12.7.2016 i henhold til [direktiv 95/46] om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred (EUT 2016, L 207, s. 1) (herefter »afgørelsen om værnet om privatlivets fred«).

7 – Jf. tale afholdt af den tidligere europæiske tilsynsførende for databeskyttelse (EDPS) P. Hustinx, »Le droit de l’Union européenne sur la protection des données: la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données«, s. 49 (tilgængelig på adressen https://edps.europa.eu/sites/edp/files/publication/14-09-15_article_eui_en.pdf).

8 – Europa-Parlamentets og Rådets direktiv af 24.10.1995 (EFT 1995, L 281, s. 31), som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29.9.2003 (EUT 2003, L 284, s. 1) (herefter »direktiv 95/46«).

9 – Kommissionens beslutning 2001/497/EF af 15.6.2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv [95/46] (EFT 2001, L 181, s. 19), Kommissionens beslutning 2004/915/EF af 27.12.2004 om ændring af beslutning [2001/497] for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande (EUT 2004, L 385, s. 74) og afgørelse 2010/87.

10 – Kommissionens afgørelse af 16.12.2016 om ændring af beslutning [2001/497] og afgørelse [2010/87] om standardkontraktbestemmelser for videregivelse af personoplysninger til tredjelande og registerførere etableret i tredjelande i henhold til direktiv [95/46] (EUT 2016, L 344, s. 100).

11 – Beslutning af 26.7.2000 i henhold til direktiv [95/46] (EFT 2000, L 215, s. 7, herefter »safe harbor«-beslutningen«).

12 – C-362/14 (EU:C:2015:650, herefter »Schrems-dommen«).

13 – Jf. Schrems-dommen, præmis 106.

14 – 50 U.S.C. 1881 (a).

15 – 50 U.S.C. 1881 (e).

16 – Den forelæggende ret har anført, at målretningsprocedurerne vedrører den måde, hvorpå den udøvende magt fastslår, at det er rimeligt at antage, at en bestemt person er en ikke-amerikansk person, der opholder sig uden for USA, og at målrettet overvågning af denne person kan føre til indsamling af udenlandske efterretningsoplysninger. Minimeringsprocedurerne omfatter erhvervelse, opbevaring, brug og udbredelse af ikke offentliggjorte oplysninger, der vedrører en ikke-amerikansk person, og som er indsamlet i henhold til FISA’s section 702.

17 – EO 12333, paragraph 3.5(e).

18 – 133 S.Ct. 1138 (2013).

19 – Den forelæggende ret har imidlertid konstateret, at der gælder en undtagelse fra princippet om, at den person, der er genstand for en overvågningsforanstaltning, ikke skal underrettes herom, når den amerikanske regering ønsker at bruge de oplysninger, der er indsamlet i henhold til FISA’s section 702, mod denne person i forbindelse med en retslig eller administrativ procedure.

20 – Den forelæggende ret har bl.a. anført, at selv om unionsborgere ved Judicial Redress Act (JRA) (lov om domstolsbeskyttelse) er blevet omfattet af bestemmelserne i Privacy Act (lov om beskyttelse af privatlivet), som giver fysiske personer adgang til de oplysninger, som visse tjenester har indsamlet om dem i relation til visse tredjelande, fremgår NSA ikke blandt de tjenester, der er nævnt i JRA.

21 – Den forelæggende ret har i denne forbindelse henvist til bilag III A til afgørelsen om »værnet om privatlivets fred« (jf. punkt 37 og 38 i dette forslag til afgørelse).

22 – Den forelæggende ret har henvist til dom af 27.1.2005, Denuit og Cordenier (C-125/04, EU:C:2005:69, præmis 12).

23 – 11. betragtning til afgørelse 2010/87 har følgende ordlyd: »Medlemsstaternes tilsynsmyndigheder spiller en central rolle i denne kontraktordning ved at sikre, at personoplysninger beskyttes tilstrækkeligt efter videregivelsen. I særlige tilfælde, hvor dataeksportøren nægter eller ikke er i stand til at instruere dataimportøren behørigt, med overhængende risiko for alvorlig skade for de registrerede til følge, bør standardkontraktbestemmelserne give tilsynsmyndighederne adgang til at foretage inspektion hos dataimportørerne og de underkontraherede registerførere og i givet fald at træffe beslutninger, som er bindende for dataimportørerne og de underkontraherede registerførere. Tilsynsmyndighederne bør have beføjelse til at forbyde eller suspendere videregivelse eller en type videregivelse af personoplysninger på grundlag af standardkontraktbestemmelserne i de særlige tilfælde, hvor det konstateres, at videregivelse på grundlag af kontraktbestemmelserne kan forventes at få en betydelig negativ virkning på de garantier og forpligtelser, hvormed den registrerede sikres en passende beskyttelse.«

24 – Facebook Ireland har iværksat appel til prøvelse af forelæggelsesafgørelsen ved Supreme Court (øverste domstol, Irland). Denne appel blev forkastet ved dom af 31.5.2019, The Data Protection Commissioner mod Facebook Ireland Limited and Maximillian Schrems, Appeal nr. 2018/68 (herefter »dom afsagt af Supreme Court (øverste domstol) den 31. maj 2019«).

25 – BSA har bekræftet, at 70% af de virksomheder, der er medlemmer af denne sammenslutning, og som har deltaget i en undersøgelse om dette emne, har oplyst, at de anvender standardkontraktbestemmelser som det væsentligste grundlag for at overføre personoplysninger til tredjelande. Digitaleurope er også af den opfattelse, at standardkontraktbestemmelser udgør det retlige redskab, der i det væsentlige påberåbes til støtte for disse overførsler.

26 – Selv om den forelæggende ret har anført, at dens anmodning om præjudiciel afgørelse vedrører gyldigheden af de tre afgørelser om standardkontraktbestemmelserne, idet disse afgørelser er genstand for undersøgelse i Commissioners udkast til afgørelse og i dommen af 3.10.2017, er der i de præjudicielle spørgsmål udelukkende henvist til afgørelse 2010/87. Dette skyldes, at Facebook Ireland for denne ret har henvist til denne afgørelse som retsgrundlag for at overføre oplysninger om de europæiske brugere af det sociale netværk Facebook til USA. Min analyse vedrører derfor udelukkende den nævnte afgørelse.

27 – Jf. punkt 167-186 i dette forslag til afgørelse.

28 – Jf. bl.a. dom af 10.12.2018, Wightman m.fl. (C-621/18, EU:C:2018:999, præmis 27), og af 19.11.2019, A.K. m.fl. (Uafhængigheden for disciplinærafdelingen ved den øverste domstol) (C-585/18, C-624/18 og C-625/18, EU:C:2019:982, præmis 98).

29 – Jf. databeskyttelsesforordningens artikel 94, stk. 1, og artikel 99, stk. 1.

30 – Jeg vil nævne, at det fremgår af databeskyttelsesforordningens artikel 46, stk. 5, at afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 26, stk. 4, i direktiv 95/46, er i kraft, indtil de ændres, erstattes eller ophæves.

31 – Jf. bl.a. dom af 7.2.1979, Frankrig mod Kommissionen (15/76 og 16/76, EU:C:1979:29, præmis 7), af 17.5.2001, IECC mod Kommissionen (C-449/98 P, EU:C:2001:275, præmis 87), og af 17.10.2013, Schaible (C-101/12, EU:C:2013:661, præmis 50).

32 – Jf. bl.a. domme af 16.4.2015, Parlamentet mod Rådet (C-540/13, EU:C:2015:224, præmis 35), og Parlamentet mod Rådet (C-317/13 og C-679/13, EU:C:2015:223, præmis 45), og dom af 22.9.2016, Parlamentet mod Rådet (C-14/15 og C-116/15, EU:C:2016:715, præmis 48).

33 – I Schrems-dommen foretog Domstolen bl.a. en vurdering af, om »safe harbor«-beslutningen i lyset af bestemmelserne i chartret, som blev vedtaget efter denne beslutning, var gyldig. Jf. ligeledes dom af 17.3.2011, AJD Tuna (C-221/09, EU:C:2011:153, præmis 48), og af 11.6.2015, Pfeifer & Langen (C-51/14, EU:C:2015:380, præmis 42).

34 – Jf. bl.a. dom af 15.7.2010, Pannon Gép Centrum (C-368/09, EU:C:2010:441, præmis 30-35), af 10.2.2011, Andersson (C-30/10, EU:C:2011:66, præmis 20 og 21), og af 25.10.2018, Roche Lietuva (C-413/17, EU:C:2018:865, præmis 17-20).

35 – Jf. i denne forbindelse generaladvokat Bobeks forslag til afgørelse Fashion ID (C-40/17, EU:C:2018:1039, punkt 87).

36 – Jf. punkt 87 i dette forslag til afgørelse.

37 – Jf. i denne retning dom af 1.4.1982, Holdijk m.fl. (141/81-143/81, EU:C:1982:122, præmis 5) og af 9.12.2003, Gasser (C-116/02, EU:C:2003:657, præmis 27).

38 – Jf. i denne retning dom af 30.5.2006, Parlamentet mod Rådet og Kommissionen (C-317/04 og C-318/04, EU:C:2006:346, herefter »PNR-dommen«, præmis 56), og Schrems-dommen (præmis 45). Databeskyttelsesforordningens artikel 4, nr. 2), gengiver i det væsentlige den definition af begrebet »behandling«, der fremgår af artikel 2, litra b), i direktiv 95/46.

39 – Det fremgår af databeskyttelsesforordningens artikel 3, stk. 1, at denne forordning finder anvendelse på enhver behandling, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej. Der skal sondres mellem spørgsmålet om, hvorvidt EU-retten finder anvendelse på de behandlinger, der foretages af et tredjelands efterretningstjenester uden for Unionen, og spørgsmålet om, hvorvidt de regler og den praksis, der gælder for disse behandlinger i det pågældende tredjeland, er relevante for at kunne fastslå, om der i dette tredjeland er sikret et tilstrækkeligt beskyttelsesniveau. Denne sidstnævnte problemstilling er genstand for det andet præjudicielle spørgsmål og vil blive behandlet i punkt 201-229 i dette forslag til afgørelse.

40 – I mit forslag til afgørelse Ministerio Fiscal (C-207/16, EU:C:2018:300, punkt 47) fremhævede jeg sondringen mellem dels den behandling af personoplysninger, der foretages direkte som et led i statslige aktiviteter, dels den kommercielle behandling, der giver anledning til en efterfølgende brug hos de offentlige myndigheder.

41 – I udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017 (EU:C:2017:592, herefter »udtalelse 1/15«) undersøgte Domstolen på samme måde, om et udkast til en international aftale mellem Canada og Unionen, der vedrørte oplysninger, som efter overførsel til Canada skulle behandles af de offentlige myndigheder med henblik på at beskytte den nationale sikkerhed, var foreneligt med chartrets artikel 7, 8 og 47.

42 – Schrems-dommen, præmis 73. Domstolen bekræftede denne konklusion i udtalelse 1/15, præmis 134.

43 – Artikel 26, stk. 2, i direktiv 95/46 bestemte, at en medlemsstat kan give tilladelse til en sådan videregivelse, »hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder« (min fremhævelse). Begreberne »tilstrækkelige garantier« og »fornødne garantier«, der er nævnt i henholdsvis denne bestemmelse og databeskyttelsesforordningens artikel 46, stk. 1, har efter min opfattelse det samme indhold.

44 – Det fremgår af sjette betragtning til databeskyttelsesforordningen, at der skal sikres et »højt niveau« for beskyttelse af oplysninger såvel inden for Unionen som i tilfælde af, at disse oplysninger overføres uden for Unionen. Jf. ligeledes 101. betragtning til databeskyttelsesforordningen.

45 – Jf. Schrems-dommen, præmis 73, og udtalelse 1/15, præmis 214.

46 – Det forholder sig således, uden at dette berører muligheden for, selv om der ikke foreligger de fornødne garantier, at overføre personoplysninger på grundlag af de undtagelsesgrunde, der er fastsat i databeskyttelsesforordningens artikel 49, stk. 1.

47 – Jf. punkt 128 i dette forslag til afgørelse.

48 – Man kan eksempelvis forestille sig, at et tredjeland har fastsat en forpligtelse for udbydere af telekommunikationstjenester til at give offentlige myndigheder adgang til de overførte oplysninger uden nogen begrænsninger eller garantier. Selv om sådanne udbydere som følge heraf ikke ville være i stand til at overholde standardkontraktbestemmelserne, ville de virksomheder, der ikke er omfattet af denne forpligtelse, imidlertid ikke være forhindret heri.

49 – Jeg vil i øvrigt nævne, at standardbestemmelse 5, litra d), nr. i), fritager importøren fra forpligtelsen til at give eksportøren underretning om en retligt bindende anmodning om videregivelse fra en retshåndhævende myndighed i et tredjeland, når lovgivningen i dette tredjeland er til hinder for, at der gives en sådan underretning. I en sådan situation har eksportøren ikke mulighed for at suspendere overførslen, såfremt denne videregivelse, som eksportøren ikke har kendskab til, er i strid med standardbestemmelserne. Importøren har i henhold til standardbestemmelse 5, litra a), imidlertid fortsat pligt til i givet fald at underrette eksportøren om, at dette tredjelands lovgivning efter hans opfattelse er til hinder for, at han kan opfylde sine forpligtelser i henhold til de aftalte kontraktbestemmelser.

50 – Det fremgår af retspraksis, at bestemmelserne i en gennemførelsesretsakt skal fortolkes i overensstemmelse med bestemmelserne i den basisretsakt, hvorved lovgiver har gjort det muligt at vedtage denne gennemførelsesretsakt (jf. i denne retning bl.a. dom af 26.7.2017, Den Tjekkiske Republik mod Kommissionen, C-696/15 P, EU:C:2017:595, præmis 51, af 17.5.2018, Evonik Degussa, C-229/17, EU:C:2018:323, præmis 29, og af 20.6.2019, ExxonMobil Production Deutschland, C-682/17, EU:C:2019:518, præmis 112). En EU-retsakt skal endvidere i videst muligt omfang fortolkes således, at dens gyldighed ikke drages i tvivl, og i overensstemmelse med hele den primære ret og navnlig med chartrets bestemmelser (jf. bl.a. dom af 14.5.2019, M m.fl. (Tilbagekaldelse af flygtningestatus), C-391/16, C-77/17 og C-78/17, EU:C:2019:403, præmis 77 og den deri nævnte retspraksis).

51 – Det fremgår i denne forbindelse af 109. betragtning til databeskyttelsesforordningen, at eksportøren og importøren tilskyndes til bl.a. ved aftale at supplere standardbestemmelserne om beskyttelse med yderligere garantier.

52 – Jeg erindrer om, at selv om artikel 4, stk. 1, i afgørelse 2010/87 indeholder en henvisning til artikel 28, stk. 3, i direktiv 95/46, fremgår det af databeskyttelsesforordningens artikel 94, stk. 2, at henvisninger til dette direktiv gælder som henvisninger til de tilsvarende bestemmelser i databeskyttelsesforordningen.

53 – Jf. sjette og syvende betragtning til afgørelse 2016/2297. I Schrems-dommens præmis 101-104 fastslog Domstolen, at en bestemmelse i »safe harbor«-beslutningen, der begrænsede de beføjelser, som tilsynsmyndighederne var tillagt ved artikel 28 i direktiv 95/46, til »særlige tilfælde«, var ugyldig med den begrundelse, at Kommissionen ikke havde kompetence til at begrænse disse myndigheders beføjelser.

54 – Jf. Schrems-dommen, præmis 103.

55 – Præamblen til en EU-retsakt er under alle omstændigheder ikke retligt bindende og kan ikke påberåbes til støtte for at fravige bestemmelserne i denne retsakt. Jf. dom af 19.11.1998, Nilsson m.fl. (C-162/97, EU:C:1998:554, præmis 54), af 12.5.2005, Meta Fackler (C-444/03, EU:C:2005:288, præmis 25), og af 10.1.2006, IATA og ELFAA (C-344/04, EU:C:2006:10, præmis 76).

56 – Jf. analogt Schrems-dommen, præmis 63.

57 – Jeg tilføjer, at det fremgår af standardbestemmelse 8, stk. 2, i bilaget til afgørelse 2010/87, at aftaleparterne accepterer, at tilsynsmyndigheden har beføjelse til at foretage en inspektion af importøren på de samme betingelser som en inspektion af eksportøren i henhold til den gældende lovgivning.

58 – Jf. i denne retning Schrems-dommen, præmis 43.

59 – Det fremgår af 141. betragtning til databeskyttelsesforordningen, at enhver skal have adgang til effektive retsmidler i overensstemmelse med chartrets artikel 47, hvis tilsynsmyndigheden »ikke handler, hvis handling er nødvendig for at beskytte den[ne persons] rettigheder«. Jf. ligeledes 129. og 143. betragtning til databeskyttelsesforordningen.

60 – Jf. bl.a. dom af 28.7.2011, Samba Diouf (C-69/10, EU:C:2011:524, præmis 57), og af 17.11.2011, Gaydarov (C-430/10, EU:C:2011:749, præmis 41).

61 – Jf. herom dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 69-73).

62 – Jf. databeskyttelsesforordningens artikel 56, stk. 1. Det fremgår af denne forordnings artikel 61, at tilsynsmyndighederne har pligt til at yde hinanden gensidig bistand. Den nævnte forordnings artikel 62 giver disse myndigheder mulighed for at gennemføre fælles aktiviteter.

63 – Jf. databeskyttelsesforordningens artikel 65.

64 – Jf. databeskyttelsesforordningens artikel 64, stk. 2.

65 – Det fremgår endvidere af databeskyttelsesforordningens artikel 83, stk. 5, litra c), at den dataansvarlige kan pålægges bøder i tilfælde af tilsidesættelse af denne forordnings artikel 44-49.

66 – Jf. punkt 175 i dette forslag til afgørelse.

67 – Dom afsagt af High Court (ret i første instans) den 3.10.2017 (præmis 337).

68 – Det fremgår af dom afsagt af Supreme Court (øverste domstol) den 31.5.2019 (præmis 2.7), at »[t]he sole relief claimed by the [Commissioner] is, in substance, a reference to the CJEU under Article 267 [TEUF]«). Denne doms præmis 2.9 har følgende ordlyd: »Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter« (min fremhævelse).

69 – Jf. punkt 124 i dette forslag til afgørelse.

70 – Supreme Court (øverste domstol) fastslog af netop denne grund i dom af 31.5.2019 (præmis 8.1-8.5), at den ikke havde kompetence til at anfægte den forelæggende rets afgørelse om at forelægge Domstolen de præjudicielle spørgsmål og til at ændre ordlyden heraf, og udtalte, at den var i tvivl med hensyn til nødvendigheden af visse af disse spørgsmål. Denne doms præmis 8.5 har navnlig følgende ordlyd: »The sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures […]«

71 – Jf. 64.-141. betragtning til afgørelsen om »værnet om privatlivets fred«. Jeg erindrer om, at værnet om privatlivets fred, således som det fremgår af denne afgørelses artikel 1, stk. 2, ikke blot består af de principper, som de virksomheder, der ønsker at overføre oplysninger på grundlag af den nævnte afgørelse, skal overholde, men også de officielle udredninger og tilsagn, der er opnået fra USA’s regering, og som fremgår af de dertil knyttede bilag.

72 – Udkastet til Commissioners afgørelse går forud for vedtagelsen af afgørelsen om »værnet om privatlivets fred«. Som Commissioner præciserede i dette udkast, havde hun, selv om det i dette udkast foreløbigt blev fastslået, at de garantier, der var fastsat i amerikansk ret, i det mindste gjorde det muligt at sikre, at overførslerne til dette tredjeland var forenelig med chartrets artikel 47, på dette tidspunkt hverken undersøgt eller taget hensyn til de nye ordninger, der var foreslået i udkastet til aftalen om »værnet om privatlivets fred«, idet denne aftale endnu ikke var blevet vedtaget. Når dette er sagt, fastslog High Court (ret i første instans) i præmis 307 i dom af 3.10.2017 følgende: »It is fair to conclude […] that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U.S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U.S.], conflicts with the case made by the [Commissioner] to this court.«

73 – Jf. artikel 1, stk. 1 og 3, i og 14.-16. betragtning til afgørelsen om »værnet om privatlivets fred«.

74 – Verserende sag T-738/16, La Quadrature du Net m.fl. mod Kommissionen (EUT 2017, C 6, s. 39).

75 – Jeg vil i øvrigt nævne, at Commissioner i sit skriftlige indlæg, ikke har taget stilling til, hvilken betydning afgørelsen om »værnet om privatlivets fred« har for behandlingen af den klage, der er indgivet til Commissioner.

76 – Jf. i denne henseende Schrems-dommen, præmis 78.

77 – Maximillian Schrems har til støtte for dette argument anført, at Facebook Inc. ikke blot skal anses for databehandler, men også for »dataansvarlig« i den forstand, hvori dette udtryk er anvendt i databeskyttelsesforordningens artikel 4, nr. 7), for så vidt angår behandlingen af de personoplysninger, der vedrører brugerne af det sociale netværk Facebook. Jf. i denne forbindelse dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 30).

78 – Jf. dom afsagt af High Court (ret i første instans) den 3.10.2017 (præmis 66).

79 – Jf. webstedet for afgørelsen om »værnet om privatlivets fred« (https://www.privacyshield.gov/participant_search).

80 – Jf. i denne retning Schrems-dommen, præmis 59.

81 – Jf. 65. betragtning til afgørelsen om »værnet om privatlivets fred«.

82 – Jf. bilag III-VII til afgørelsen om »værnet om privatlivets fred«.

83 – Europa-Parlamentets beslutning af 6.4.2017 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, P8_TA(2017)0131, og af 5.7.2018 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, P8_TA(2018)0315.

84 – Jf. Artikel 29-gruppen vedrørende databeskyttelse (herefter »Artikel 29-gruppen«), Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13.4.2016, WP 238, Artikel 29-gruppen, EU-US Privacy Shield – First Annual Joint Review, 28.11.2017, WP 255, og EDPD, EU-US Privacy Shield – Second Annual Joint Review, 22.1.2019. Artikel 29-gruppen blev oprettet i henhold til artikel 29, stk. 1, i direktiv 95/46, der foreskrev, at denne gruppe var rådgivende og uafhængig. Det fremgik af denne artikels stk. 2, at denne gruppe bestod af en repræsentant for hver enkelt national tilsynsmyndighed og af en repræsentant for hver enkelt myndighed, der var oprettet for fællesskabsinstitutionerne og ‑organerne, samt af en repræsentant for Kommissionen. Artikel 29-gruppen blev med ikrafttrædelsen af databeskyttelsesforordningen erstattet af EDPB (jf. denne forordnings artikel 94, stk. 2).

85 – Jf. EDPS, udtalelse 4/2016 om udkastet til afgørelse om tilstrækkeligheden af »EU’s og USA’s værn om privatlivets fred« (Privacy Shield) af 30.5.2016. EDPS blev oprettet ved artikel 1, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18.12.2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1). EDPS sikrer, at bestemmelserne i denne forordning overholdes.

86 – Jf. punkt 112 i dette forslag til afgørelse.

87 – Jeg erindrer om, at der også skal foretages en vurdering af, hvorvidt det beskyttelsesniveau, der er sikret af en tredjestat, i det væsentlige svarer til det niveau, der kræves i Unionen, når den dataansvarlige eller, såfremt en sådan ikke findes, den kompetente tilsynsmyndighed i forbindelse med en konkret overførsel, der foretages på grundlag af de standardkontraktbestemmelser, der er fastsat i afgørelse 2010/87, undersøger, om de offentlige myndigheder i bestemmelsestredjelandet har pålagt importøren krav, der går ud, hvad der er nødvendigt i et demokratisk samfund (jf. standardbestemmelse 5 i bilaget til afgørelse 2010/87 og den dertil knyttede fodnote). Jf. punkt 115, 134 og 135 i dette forslag til afgørelse.

88 – Jf. punkt 117 i dette forslag til afgørelse.

89 – Jf. punkt 197 i dette forslag til afgørelse.

90 – Jf. bl.a. dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 43 og 44), PNR-dommen, præmis 58, dom af 16.12.2008, Satakunnan Markkinapörssi og Satamedia (C-73/07, EU:C:2008:727, præmis 41), af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, herefter »Tele2 Sverige-dommen«, præmis 69), og af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, herefter »Ministerio Fiscal-dommen«, præmis 32).

91 – For at undgå enhver tvivl på dette punkt vil jeg nævne, at Kommissionen i afgørelsen om »værnet om privatlivets fred« ikke var i stand til at fastslå, om USA faktisk havde opfanget kommunikation, der blev udvekslet via transatlantiske kabler, idet de amerikanske myndigheder hverken har be- eller afkræftet denne antagelse [jf. 75. betragtning til denne afgørelse og Robert Litts skrivelse af 22.2.2016, der fremgår af punkt I, litra a), i bilag VI hertil]. Eftersom USA’s regering ikke har benægtet, at den indsamler oplysninger i transit på grundlag af EO 12333, burde Kommissionen, før den foretog en konstatering af, at beskyttelsesniveauet var tilstrækkeligt, efter min opfattelse have opnået forsikringer fra denne regering om, at en sådan indsamling, såfremt den måtte finde sted, ville være omfattet af tilstrækkelige garantier mod risikoen for misbrug. Det er på denne baggrund, at Kommissionen i den nævnte afgørelses punkt 68-77 undersøgte, hvilke begrænsninger og garantier der i henhold til PPD 28 burde finde anvendelse i en sådan situation.

92 – Der var tale om Kommissionens beslutning 2004/535/EF af 14.5.2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT 2004, L 235, s. 11).

93 – PNR-dommen, præmis 56-58. Domstolen fastslog i øvrigt i dom af 10.2.2009, Irland mod Parlamentet og Rådet (C-301/06, EU:C:2009:68, præmis 90 og 91), at de betragtninger, der fremgik af PNR-dommen, ikke kunne overføres på de behandlinger, der er omfattet af Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54). Domstolen begrundende denne konklusion med, at direktiv 2006/24 i modsætning til den afgørelse, der var genstand for PNR-dommen, udelukkende regulerede tjenesteudbydernes virksomhed i det indre marked og ikke de aktiviteter, som de offentlige myndigheder udøver for at nå retshåndhævende mål. Domstolen synes med denne argumentation at bekræfte, at den konklusion, der blev draget i PNR-dommen, modsætningsvis ville kunne overføres på de bestemmelser, der vedrører disse myndigheders adgang til eller brug af de opbevarede oplysninger.

94 – Tele2 Sverige-dommen, præmis 67-81.

95 – Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).

96 – Eftersom direktiv 2002/58 udgør en konkretisering af kravene i direktiv 95/46, der nu er ophævet ved databeskyttelsesforordningen, som i vidt omfang gengiver indholdet heraf, finder den retspraksis, der vedrører fortolkningen af artikel 1, stk. 3, i direktiv 2002/58, ud fra en analogibetragtning efter min opfattelse anvendelse på fortolkningen af databeskyttelsesforordningens artikel 2, stk. 2. Jf. i denne retning Tele2 Sverige-dommen, præmis 69, og Ministerio Fiscal-dommen, præmis 32.

97 – Ministerio Fiscal-dommen, præmis 34, 35 og 37.

98 – Dette samme spørgsmål er blevet rejst inden for rammerne af tre andre anmodninger om præjudiciel afgørelse, der verserer for Domstolen. Jf. sag C-623/17, Privacy International (EUT 2018, C 22, s. 29), og forenede sager C-511/18 og C-512/18, La Quadrature du Net m.fl. og French Data Network m.fl. (EUT 2018, C 392, s. 7).

99 – Selv om Domstolen i Tele2 Sverige-dommen koncentrerede sig om at undersøge begrundelsen for de indgreb, der fulgte af de pågældende foranstaltninger om lagring og adgang i lyset af formålet om at bekæmpe straffelovsovertrædelser, gælder den konklusion, som den nåede til, mutatis mutandis også, når en sådan foranstaltning forfølger et formål om at beskytte den nationale sikkerhed. Artikel 15, stk. 1, i direktiv 2002/58, nævner nemlig blandt de formål, der kan begrunde sådanne foranstaltninger, såvel bekæmpelsen af straffelovsovertrædelser som beskyttelsen af den nationale sikkerhed. Det fremgår i øvrigt af artikel 1, stk. 3, i direktiv 2002/58 og databeskyttelsesforordningens artikel 2, stk. 2, at statens aktiviteter såvel på området for den nationale sikkerhed som på det strafferetlige område ikke er omfattet af anvendelsesområdet for disse retsakter. De foranstaltninger, der var genstand for den sag, som gav anledning til Tele2 Sverige-dommen, forfulgte i øvrigt også et formål, der vedrørte den nationale sikkerhed. I denne doms præmis 119 behandlede Domstolen udtrykkeligt spørgsmålet om, hvorvidt foranstaltninger om lagring og adgang til trafik- og lokaliseringsdata var begrundede ud fra formålet om beskyttelse af den nationale sikkerhed, for så vidt som dette formål omfattede bekæmpelse af terrorisme.

100 – Tele2 Sverige-dommen, præmis 78, min fremhævelse. Som brugen af udtrykket »[f]or så vidt som« viser, var det udelukkende for at bekræfte konklusionen om, at direktiv 2002/58 fandt anvendelse, at Domstolen i denne doms præmis 79 fremhævede, at der bestod en uløselig forbindelse mellem den forpligtelse til datalagring, der var genstand for den sag, som havde givet anledning til denne dom, og de bestemmelser, der vedrørte de nationale myndigheders adgang til lagrede oplysninger.

101 – Ministerio Fiscal-dommen, præmis 37, min fremhævelse.

102 – Jf. i denne retning Ministerio Fiscal-dommen, præmis 38.

103 – Jf. i denne retning dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 28).

104 – Schrems-dommen, præmis 91-96. Kommissionen henviste i 90., 124. og 141. betragtning til afgørelsen om »værnet om privatlivets fred« i øvrigt til chartrets bestemmelser, idet den således accepterede princippet om, at begrænsninger af de grundlæggende rettigheder, der sker af hensyn til den nationale sikkerhed, skal være i overensstemmelse med chartret.

105 – Jf. i denne retning Schrems-dommen, præmis 74 og 75.

106 – Jf. i denne retning EDPB, EU-US Privacy Shield – Second Annual Joint Review, af 22.1.2019 (s. 17, punkt 86).

107 – Jf. databeskyttelsesforordningens artikel 45, stk. 5. Jf. ligeledes Schrems-dommen, præmis 76.

108 – »Safe harbor«-beslutningen blev således erklæret ugyldig med den begrundelse, at Kommissionen ikke i denne beslutning havde anført, at USA faktisk sikrede et tilstrækkeligt beskyttelsesniveau på grundlag af landets nationale lovgivning eller dets internationale forpligtelser (Schrems-dommen, præmis 97). Kommissionen havde navnlig ikke foretaget konstateringer om, hvorvidt der forelå statslige regler, hvorved det tilsigtedes at begrænse de eventuelle indgreb i de registreredes grundlæggende rettigheder (Schrems-dommen, præmis 88), og heller ikke om, hvorvidt der forelå en effektiv domstolsbeskyttelse mod sådanne indgreb (Schrems-dommen, præmis 89).

109 – Punkt 54-73 i dette forslag til afgørelse indeholder en sammenfatning af disse konstateringer.

110 – Jf. bl.a. dom af 4.5.1999, Sürül (C-262/96, EU:C:1999:228, præmis 95), af 11.9.2008, Eckelkamp m.fl. (C-11/07, EU:C:2008:489, præmis 32), og af 26.10.2016, Senior Home (C-195/15, EU:C:2016:804, præmis 20).

111 – Jf. i denne forbindelse dom afsagt af Supreme Court (øverste domstol) den 31.5.2019 (præmis 6.18).

112 – Jf. dom af 13.5.1981, International Chemical Corporation (66/80, EU:C:1981:102, præmis 12 og 13).

113 – Jf. i denne forbindelse dom af 22.3.2012, GLS (C-338/10, EU:C:2012:158, præmis 15, 33 og 34), hvori Domstolen for at vurdere gyldigheden af en forordning om indførelse af en endelig antidumpingtold tog hensyn til statistikker fra Eurostat, som Kommissionen fremlagde efter anmodning fra Domstolen. Jf. ligeledes dom af 22.10.1991, Nölle (C-16/90, EU:C:1991:402, præmis 17, 23 og 24). I Schrems-dommen, præmis 90, tog Domstolen i forbindelse med undersøgelsen af, om »safe harbor«-beslutningen var gyldig, endvidere hensyn til visse meddelelser fra Kommissionen.

114 – Schrems-dommen, præmis 73 og 74.

115 – Jf. i denne retning Artikel 29-gruppen, »Adequacy Referential (updated)«, 28.11.2017, WP 254 (s. 3, 4 og 9).

116 – I EMRK’s artikel 8, stk. 2, er der imidlertid ikke henvist til begrebet det »væsentligste indhold« af retten til respekt for privatlivet. Jf. herom i fodnote 161 i dette forslag til afgørelse.

117 – Menneskerettighedsdomstolen, 19.6.2018 (CE:ECHR:2018:0619JUD003525208, herefter »Centrüm för Rättvisa-dommen«).

118 – Menneskerettighedsdomstolen, 13.9.2018 (CE:ECHR:2018:0913JUD005817013, herefter »Big Brother Watch-dommen«).

119 – Jf. de sager, der er nævnt i fodnote 98 i dette forslag til afgørelse, og sag C-520/18, Ordre des barreaux francophones et germanophones m.fl. (EUT 2018, C 408, s. 39).

120 – Selv om en behandling kan tilsidesætte både chartrets artikel 7 og 8, er rammen for den undersøgelse, der er relevant i forbindelse med anvendelsen af artikel 8, strukturelt forskellig fra den, der finder anvendelse på artikel 7. Retten til beskyttelse af personoplysninger indebærer, som det fremgår af chartrets artikel 8, stk. 2, at »[d]isse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«, og at »[e]nhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf«. En krænkelse af denne rettighed forudsætter, at personoplysningerne har været genstand for en behandling, der er foretaget i strid med disse krav. Dette er bl.a. tilfældet, når behandlingen ikke sker på grundlag af den registreredes samtykke, eller på et andet berettiget ved lov fastsat grundlag. Selv om spørgsmålet om, hvorvidt der foreligger et indgreb, og spørgsmålet om, hvorledes dette indgreb er begrundet, begrebsmæssigt er forskellige inden for rammerne af artikel 7, overlapper disse spørgsmål i en sådan situation hinanden i forhold til chartrets artikel 8.

121 – I artikel 2, andet afsnit, litra b), i direktiv 2002/58 er begrebet »trafikdata« defineret som »data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«.

122 – Jf. dom af 8.4.2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, herefter »Digital Rights Ireland-dommen«, præmis 27), og Tele2 Sverige-dommen, præmis 99. Jf. ligeledes Menneskerettighedsdomstolen, 2.8.1984, Malone mod Det Forenede Kongerige (CE:ECHR:1984:0802JUD000869179, § 84) og 8.2.2018, Ben Faiza mod Frankrig (CE:ECHR:2018:0208JUD003144612, § 66).

123 – Jf. Digital Rights Ireland-dommen, præmis 33, udtalelse 1/15, præmis 124, og Ministerio Fiscal-dommen, præmis 51.

124 – Jf. 78.-81. betragtning til og punkt II i bilag VI til afgørelsen om »værnet om privatlivets fred«.

125 – Jf. i denne forbindelse Digital Rights Ireland-dommen, præmis 32.

126 – Jf. i denne retning udtalelse 1/15, præmis 124 og 125, hvoraf fremgår, at videregivelsen af oplysninger til en tredjemand udgør et indgreb i udøvelsen af de registreredes grundlæggende rettigheder, uanset hvad disse oplysninger efterfølgende bruges til.

127 – Jf. i denne retning Digital Rights Ireland-dommen, præmis 35, Schrems-dommen, præmis 87, og udtalelse 1/15, præmis 123-126.

128 – Jf. punkt 60 i dette forslag til afgørelse.

129 – PCLOB, Report on the Surveillance Program Operated Pursuant to Section 702 of the [FISA], 2.7.2014 (herefter »PCLOB-rapporten«, s. 84 og 111). Jf. ligeledes Artikel 29-gruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28.11.2017, WP 255 (under B.1.1, s. 15).

130 – Jf. fodnote 126 i dette forslag til afgørelse.

131 – Jf. herom punkt 222 i dette forslag til afgørelse.

132 – Jf. udtalelse 1/15, præmis 123 og den deri nævnte retspraksis.

133 – Jf. bl.a. udtalelse 1/15, præmis 146.

134 – Jf. bl.a. Menneskerettighedsdomstolen, 2.8.1984, Malone mod Det Forenede Kongerige (CE:ECHR:1984:0802JUD000869179, § 66), afgørelse af 29.6.2006, Weber og Saravia mod Tyskland (CE:ECHR:2006:0629DEC005493400, herefter »Weber og Saravia-afgørelsen«, § 84 og den deri nævnte retspraksis,), og 4.12.2015, Zakharov mod Rusland (CE:ECHR:2015:1204JUD004714306, herefter »Zakharov-dommen«, § 228).

135 – Jf. bl.a. Digital Rights Ireland-dommen, præmis 54 og 65, Schrems-dommen, præmis 91, Tele2 Sverige-dommen, præmis 109, og udtalelse 1/15, præmis 141.

136 – Jf. bl.a. Weber og Saravia-afgørelsen (§§ 94 og 95), Zakharov-dommen (§ 236) og Menneskerettighedsdomstolen, 12.1.2016, Szabó og Vissy mod Ungarn (CE:ECHR:2016:0112JUD003713814, herefter »Szabó og Vissy-dommen«, § 59).

137 – Jf. Tele2 Sverige-dommen, præmis 117, og udtalelse 1/15, præmis 190. Jf. ligeledes bl.a. Menneskerettighedsdomstolen, 2.8.1984, Malone mod Det Forenede Kongerige (CE:ECHR:1984:0802JUD000869179, § 67), Zakharov-dommen (§ 229) og Szabó og Vissy-dommen (§ 62). Menneskerettighedsdomstolen præciserede i disse domme, at kravet om forudsigelighed ikke har den samme rækkevidde med hensyn til aflytning af kommunikation som inden for andre områder. Hvad angår hemmelige overvågningsforanstaltninger udtalte Menneskerettighedsdomstolen, at »foreseeability […] cannot mean that an individual should be able to foresee when the authorities are likely to intercept his communications so that he can adapt his conduct accordingly«.

138 – Udtalelse 1/15, præmis 139. Jf. ligeledes i denne retning Menneskerettighedsdomstolen, 25.3.1983, Silver m.fl. mod Det Forenede Kongerige (CE:ECHR:1983:0325JUD000594772, §§ 88 og 89).

139 – 69.-77. betragtning til og punkt I bilag VI til afgørelsen om »værnet om privatlivets fred« indeholder en gennemgang af PPD 28. Det præciseres heri, at dette præsidentielle direktiv finder anvendelse på såvel de efterretningsaktiviteter, der er baseret på FISA’s section 702, som de efterretningsaktiviteter, der gennemføres uden for USA’s område.

140 – Punkt 3.7, litra c), i EO 12333 har følgende ordlyd: »This order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person.« Artikel 6, litra d), i PPD 28 bestemmer endvidere: »This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.«

141 – Jf. i denne retning EDPB, EU-US Privacy Shield – Second Annual Joint Review, af 22.1.2019 (punkt 99).

142 – Jf. 69. og 77. betragtning til afgørelsen om »værnet om privatlivets fred«.

143 – 76. betragtning til afgørelsen om »værnet om privatlivets fred«.

144 – Jf. Menneskerettighedsdomstolen, 25.3.1983, Silver m.fl. mod Det Forenede Kongerige (CE:ECHR:1983:0325JUD000594772, §§ 26 og 86).

145 – Jf. punkt 295-301 i dette forslag til afgørelse. I Tele2 Sverige-dommen, præmis 116 og 117, og udtalelse 1/15, præmis 140 og 141, blev betingelsen om, at lovgivningen skal være forudsigelig, anset for uløseligt forbundet med betingelsen om, at indgrebet skal være nødvendigt og forholdsmæssigt. Det fremgår på samme måde af Menneskerettighedsdomstolens praksis, at eksistensen af effektive garantier mod risikoen for misbrug indgår som et element i såvel betingelsen om, at indgrebet skal være »forudsigeligt«, som betingelsen om, at indgrebet skal være »nødvendigt i et demokratisk samfund«, idet spørgsmålet om, hvorvidt disse to betingelser er overholdt, undersøges samlet. Jf. bl.a. Menneskerettighedsdomstolen, 18.5.2010, Kennedy mod Det Forenede Kongerige (CE:ECHR:2010:0518JUD002683905, § 155), Zakharov-dommen (§ 236), Centrüm för Rättvisa-dommen (§ 107) og Big Brother Watch-dommen (§ 322).

146 – Jf. ligeledes 104. betragtning til databeskyttelsesforordningen.

147 – Jf. Schrems-dommen, præmis 94. Jf. ligeledes Digital Rights Ireland-dommen, præmis 39, og Tele2 Sverige-dommen, præmis 101. Når der henses til den tætte forbindelse, der består mellem retten til respekt for privatlivet og retten til beskyttelse af personoplysninger, synes en national foranstaltning, der tillægger de offentlige myndigheder en generel adgang til indholdet af kommunikation, også at tilsidesætte det væsentligste indhold af den ret, der er fastsat i chartrets artikel 8.

148 – Jf. punkt 257 i dette forslag til afgørelse. Domstolen fremhævede i Tele2 [Sverige]-dommen, præmis 99, at metadata bl.a. giver mulighed for at udfærdige en profil på de registrerede. Artikel 29-gruppen anførte i udtalelse 04/2014 om overvågning af elektronisk kommunikation i efterretningsøjemed og af hensyn til den nationale sikkerhed af 10.4.2014, WP 215 (s. 5), at metadata er lette at aggregere og analysere på grund af deres strukturerede karakter.

149 – Jf. Tele2 Sverige-dommen, præmis 99. Visse forfattere har sat spørgsmålstegn ved, om sondringen mellem generel adgang til kommunikation og generel adgang til metadata er begrundet, når der henses til den teknologiske udvikling og udviklingen inden for kommunikationsmidler. Jf. N. Falot og H. Hijmans, »Tele2: de afweging tussen privacy en veiligheid nader omlijnd«, Nederlands Tijdschrift voor Europees Recht, nr. 3, 2017 (s. 48) og T. Ojanen, »Making essence of the rights real: the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter« (bemærkninger til Schrems-dommen), European Constitutional Law Review, 2016 (s. 5).

150 – Jf. fodnote 87 i afgørelsen om »værnet om privatlivets fred«. Som det fremgår af EPIC’s indlæg og USA’s regerings svar på Domstolens spørgsmål, krævede FISC imidlertid i 2017 en suspension af søgninger, der »vedrørte« en selektor, som følge af de uregelmæssigheder, som denne form for søgninger var behæftet med. Kongressen fastsatte imidlertid i den retsakt om fornyet godkendelse af FISC, der blev vedtaget i 2018, mulighed for at genindføre denne form for søgninger efter aftale med FISC og Kongressen. Jf. ligeledes EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22.1.2019 (s. 27, punkt 55).

151 – Ud fra dette synspunkt sondrer den forelæggende ret i præmis 188 og 189 i sin afgørelse af 3.10.2017 mellem »massesøgninger« og »masserhvervelse, ‑indsamling eller ‑opbevaring«. Denne ret er nærmere bestemt af den opfattelse, at hvis Upstream-programmet indebærer, at der foretages en »massesøgning« i samtlige de datastrømme, der sendes via »rygraden« i telekommunikationen, vil denne søgning være rettet mod erhvervelse, indsamling og opbevaring, for så vidt som disse handlinger kun vedrører de oplysninger, der indeholder de omhandlede selektorer.

152 – Jf. i denne retning dom afsagt af Supreme Court (øverste domstol) den 31.5.2019 (præmis 11.2 og 11.3). Denne domstol fastslog i denne dom følgende: »[I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term »processing« covers a wide range of activity, apparently, in the view of the [Commissioner], including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis.«

153 – Jf. udtalelse 1/15, præmis 122. Jf. ligeledes Report on the Democratic Oversight of Signals Intelligence Agencies vedtaget af European Commission for Democracy through Law (Venice Commission) den 15.12.2015, undersøgelse nr. 719/2013 (CDL-AD(2015)011, s. 11): »In practice, whether this process adequately limits unnecessary intrusion into innocent personal communications depends on both the relevance and specificity of the selector used and the quality of the computer algorithm employed to sort for relevant data within the parameters chosen […]«.

154 – Jf. punkt 297-301 i dette forslag til afgørelse.

155 – Udtalelse 1/15, præmis 150.

156 – Jf. 70., 103. og 109. betragtning til afgørelsen om »værnet om privatlivets fred«.

157 – Jf. 83.-87. betragtning til og punkt I, litra c), i bilag VI til afgørelsen om »værnet om privatlivets fred«. Jeg vil nævne, at det af PCLOB-rapporten (s. 51-66) fremgår, at NSA’s »minimeringsprocedurer« i henhold til FISA’s section 702, for så vidt angår de fleste aspekter ved denne procedure, kun vedrører amerikanske personer. PPD 28 tilsigtede at udvide de gældende garantier til ikke-amerikanske personer. Jf. PCLOB, Report to the President on the Implementation of [PPD 28]: Signals Intelligence Activities, der er tilgængelig på adressen https://www.pclob.gov/reports/report-PPD28/ s. 2). Når dette er sagt, er den opbevaring og brug af oplysningerne, der sker af hensyn til den nationale sikkerhed, efter at de offentlige myndigheder har erhvervet disse oplysninger, efter min opfattelse ikke omfattet af EU-rettens anvendelsesområde (jf. punkt 226 i dette forslag til afgørelse). Spørgsmålet om, hvorvidt det beskyttelsesniveau, der er sikret i forbindelse med disse aktiviteter, er tilstrækkeligt, skal derfor kun vurderes i lyset af EMRK’s artikel 8.

158 – Jf. punkt 283-289 i dette forslag til afgørelse.

159 – Kommissionen konstaterede navnlig i 127. betragtning til afgørelsen om »værnet om privatlivets fred«, at den fjerde tillægsbestemmelse til USA’s forfatning ikke finder anvendelse på ikke-amerikanske personer.

160 – Jf. 73. og 74. betragtning til og punkt I, litra b), i bilag VI til afgørelsen om »værnet om privatlivets fred«. Disse formål omfatter bekæmpelse af spionage og andre trusler og aktiviteter, som udenlandske statsmagter retter mod USA og dets interesser, terrortrusler, trusler, der følger af udvikling, besiddelse, udbredelse eller anvendelse af masseødelæggelsesvåben, trusler, der vedrører cybersikkerhed, trusler mod USA’s bevæbnede styrker eller dets allierede, og trusler i form af grænseoverskridende kriminalitet. Det fremgår af fodnote 5 i PPD 28, at begrænsningen af de formål, der kan begrunde »massebrug« af de indsamlede oplysninger, ikke finder anvendelse, når en sådan indsamling kun er midlertidig og har til formål at fremme en målrettet indsamling.

161 – Selv om EMRK’s bestemmelser ikke nævner »det væsentligste indhold« af de grundlæggende rettigheder, anvendes det tilsvarende begreb »selve kernen« i en grundlæggende rettighed i Menneskerettighedsdomstolens praksis vedrørende disse bestemmelser. Jf., hvad angår selve kernen i retten til en retfærdig rettergang, der er sikret i EMRK’s artikel 6, bl.a. Menneskerettighedsdomstolen, 25.5.1985, Ashingdane mod Det Forenede Kongerige (CE:ECHR:1985:0528JUD000822578, §§ 57 og 59), 21.12.2000, Heaney and McGuinness mod Irland (CE:ECHR:2000:1221JUD003472097, §§ 55 og 58), og af 23.6.2016, Baka mod Ungarn (CE:ECHR:2016:0623JUD002026112, § 121). Hvad angår selve kernen i retten til at indgå ægteskab, der er sikret ved EMRK’s artikel 12, jf. Menneskerettighedsdomstolen, 11.7.2002, Christine Goodwin mod Det Forenede Kongerige (CE:ECHR:2002:0711JUD002895795, §§ 99 og 101). Hvad angår selve kernen i retten til uddannelse, der er sikret ved artikel 2 i protokol nr. 1 til EMRK, jf. Menneskerettighedsdomstolen, 23.7.1968, sagen »om visse aspekter ved sprogordningen i det belgiske uddannelsessystem« (CE:ECHR:1968:0723JUD000147462, § 5).

162 – Jf. navnlig Centrüm för Rättvisa-dommen (§§ 112-114 og den deri nævnte retspraksis) og Big Brother Watch-dommen (§ 337).

163 – Jf. punkt 197 i dette forslag til afgørelse.

164 – Jf. databeskyttelsesforordningens artikel 23, stk. 1, litra a).

165 – Jf. Schrems-dommen, præmis 88. Domstolen er af den opfattelse, at det beslægtede begreb »offentlig sikkerhed« som omhandlet i de bestemmelser i EUF-traktaten, der gør det muligt at fravige de grundlæggende frihedsrettigheder, som denne traktat sikrer, udgør et selvstændigt begreb i EU-retten, der omfatter en medlemsstats såvel indre som ydre sikkerhed (jf. bl.a. dom af 26.10.1999, Sirdar, C-273/97, EU:C:1999:523, præmis 17, og af 13.9.2016, CS, C-304/14, EU:C:2016:674, præmis 39 og den deri nævnte retspraksis). Den indre sikkerhed kan bl.a. berøres af en direkte trussel mod den pågældende medlemsstats befolknings tryghed og fysiske sikkerhed, mens den ydre sikkerhed bl.a. berøres af risikoen for en alvorlig forstyrrelse af denne medlemsstats internationale forbindelser eller af nationernes fredelige sameksistens. Selv om hver enkelt medlemsstat ikke ensidigt kan bestemme indholdet af disse begreber, råder de over et vist skøn med henblik på at fastlægge deres væsentligste interesser på sikkerhedsområdet. Jf. navnlig dom af 2.5.2018, K. og H. F. (Opholdsret og påstande om krigsforbrydelser) (C-331/16 og C-366/16, EU:C:2018:296, præmis 40-42 og den deri nævnte retspraksis). Disse betragtninger kan efter min opfattelse overføres på fortolkningen af begrebet »national sikkerhed« som interesse, hvis beskyttelse kan begrunde, at der fastsættes begrænsninger af databeskyttelsesforordningens bestemmelser og af de rettigheder, der er sikret ved chartrets artikel 7 og 8.

166 – Jf. i denne forbindelse 89. betragtning til og fodnote 97 i afgørelsen om »værnet om privatlivets fred«.

167 – Jf. punkt 55 i dette forslag til afgørelse.

168 – Jf. punkt 61 i dette forslag til afgørelse.

169 – I Centrüm för Rättvisa-dommen (§ 111) fastslog Menneskerettighedsdomstolen, at overvågningsaktiviteter, der havde til formål at støtte udenrigspolitikken, forsvarspolitikken og sikkerhedspolitikken i Sverige og at identificere udenlandske trusler, der var organiseret i Sverige, forfulgte legitime mål af hensyn til den nationale sikkerhed.

170 – Jf. i denne forbindelse Tele2 Sverige-dommen, præmis 115, og Ministerio Fiscal-dommen, præmis 55. Domstolen fremhævede i disse domme forholdet mellem graden af den alvor, der kendetegner et indgreb, og graden af den alvor, der kendetegner den interesse, som er påberåbt som begrundelse herfor.

171 – Artikel 29-gruppen fremhævede i Working Document on surveillance of electronic communications for intelligence and national security purposes af 5.12.2014, WP 228 (s. 27) vigtigheden af at foretage en kritisk vurdering af, om overvågningen faktisk foretages af hensyn til den nationale sikkerhed.

172 – Jf. udtalelse 1/15, præmis 181, hvori Domstolen fastslog, at ordlyden af de lovbestemmelser, der foreskrev indgrebene, ikke opfyldte kravene om klarhed og præcision, og at disse indgreb derfor ikke var begrænset til det strengt nødvendige. Generaladvokat Bot var ud fra det samme synspunkt i sit forslag til afgørelse Schrems (C-362/14, EU:C:2015:627, punkt 181-184) af den opfattelse, at formålene med overvågningsforanstaltningerne var formuleret for bredt til, at de kunne anses for mål af almen interesse, dog med undtagelse af den nationale sikkerhed.

173 – EDPS har givet udtryk for en tilsvarende tvivl i udtalelse 4/2016 om udkastet til afgørelse om tilstrækkeligheden af »EU’s og USA’s værn om privatlivets fred« (Privacy Shield) af 30.5.2016 (s. 8).

174 – Jf. dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 48), udtalelse 1/15, præmis 136, og dom af 24.9.2019, Google (Territorial rækkevidde af fjernelsen af links) (C-507/17, EU:C:2019:772, præmis 60).

175 – Jf. bl.a. dom af 16.12.2008, Satakunnan Markkinapörssi og Satamedia (C-73/07, EU:C:2008:727, præmis 56), Digital Rights Ireland-dommen, præmis 48 og 52, Schrems-dommen, præmis 78 og 92, og udtalelse 1/15, præmis 139 og 140. Jf. ligeledes 140. betragtning til afgørelsen om »værnet om privatlivets fred«.

176 – Schrems-dommen, præmis 93. Jf. ligeledes i denne retning Digital Rights Ireland-dommen, præmis 60.

177 – Jf. Tele2 Sverige-dommen, præmis 120, og udtalelse 1/15, præmis 202.

178 – PCLOB-rapporten (s. 45) har følgende ordlyd: »With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to »identify« the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification.«

179 – Jf. i denne retning Artikel 29-gruppen, Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13.4.2016, WP 238 (under 3.3.1, s. 38), Europa-Parlamentets beslutning af 6.4.2017 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, P8_TA(2017)0131 (punkt 17), og Parlamentets betænkning om big datas indvirkning på de grundlæggende rettigheder: privatlivets fred, databeskyttelse, ikke-forskelsbehandling, sikkerhed og retshåndhævelse af 20.2.2017, A8-0044/2017 (punkt 17).

180 – Jf. i denne retning Artikel 29-gruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28.11.2017, WP 255 (s. 3), Europa-Parlamentets beslutning af 5.7.2018 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, P8_TA(2018)0315 (punkt 22), og EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22.1.2019 (punkt 81-83 og 87).

181 – Jf. bl.a. Zakharov-dommen (§ 232) og Szabó og Vissy-dommen (§ 57).

182 – Jf. bl.a. Zakharov-dommen (§ 237), Centrüm för Rättvisa-dommen (§ 111) og Big Brother Watch-dommen (§ 322).

183 – Jf. bl.a. Weber og Saravia-afgørelsen (§ 95), Menneskerettighedsdomstolen, 28.6.2007, Association pour l’intégration européenne et les droits de l’homme og Ekimdjiev (CE:ECHR:2007:0628JUD006254000, § 76), og Zakharov-dommen (§ 231).

184 – Jf. bl.a. Weber og Saravia-afgørelsen (§ 106), Zakharov-dommen (§ 232) og Centrüm för Rättvisa-dommen (§ 104).

185 – Jf. bl.a. Menneskerettighedsdomstolen, 6.9.1978, Klass m.fl. mod Tyskland (CE:ECHR:1978:0906JUD000502971, § 55), Zakharov-dommen (§ 233) og Centrüm för Rättvisa-dommen (§ 105).

186 – Jf. bl.a. Klass-dommen (§ 56), Menneskerettighedsdomstolen, 18.5.2010, Kennedy mod Det Forenede Kongerige (CE:ECHR:2010:0518JUD002683905, § 167), og Zakharov-dommen (§ 233 og 258).

187 – Jf. Szabó og Vissy-dommen (§ 77) og Centrüm för Rättvisa-dommen (§ 133).

188 – Dette gælder så meget desto mere, når der henses til de betragtninger, der er redegjort for i punkt 281 i dette forslag til afgørelse.

189 – Jf. punkt 330 og 331 i dette forslag til afgørelse.

190 – Det fremgår i denne forbindelse af forklaringerne til chartret, at »[i] EU-retten [er den] beskyttelse[, der er fastsat i chartrets artikel 47,] mere omfattende [end den, der er fastsat i EMRK’s artikel 13,] da den sikrer adgang til effektive retsmidler for en domstol«. Jf. ligeledes generaladvokat Wathelets forslag til afgørelse Berlioz Investment Fund (C-682/15, EU:C:2017:2, punkt 37).

191 – For at vurdere, om et organ er en »ret« i forbindelse med anvendelsen af chartrets artikel 47, skal der tages hensyn til, om det er oprettet ved lov, har permanent karakter, virker som obligatorisk retsinstans, anvender en kontradiktorisk sagsbehandling, træffer afgørelse på grundlag af retsregler, og om det er uafhængigt. Jf. dom af 27.2.2018, Associação Sindical dos Juízes Portugueses (C-64/16, EU:C:2018:117, præmis 38 og den deri nævnte retspraksis).

192 – Jf. bl.a. dom af 25.7.2018, Minister for Justice and Equality (Mangler ved domstolssystemet) (C-216/18 PPU, EU:C:2018:586, præmis 59 og 63), af 5.11.2019, Kommissionen mod Polen (De almindelige domstoles uafhængighed) (C-192/18, EU:C:2019:924, præmis 106), og af 19.11.2019, A.K. m.fl. (Uafhængigheden for disciplinærafdelingen ved den øverste domstol) (C-585/18, C-624/18 og C-625/18, EU:C:2019:982, præmis 120).

193 – Jf. punkt 293 i dette forslag til afgørelse. Det fremgår af databeskyttelsesforordningens artikel 45, stk. [2], litra a), at der i forbindelse med vurderingen af, om det beskyttelsesniveau, som en tredjestat sikrer, er tilstrækkeligt, skal tages hensyn til den »effektiv[e] administrativ[e] og retslig[e] prøvelse«, som de registrerede faktisk kan iværksætte i dette tredjeland (min fremhævelse). Det fremgår på samme måde af 104. betragtning til databeskyttelsesforordningen, at vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør være undergivet en betingelse om, at de registrerede i det pågældende tredjeland indrømmes en »adgang til effektiv administrativ og retslig prøvelse« (min fremhævelse). Jf. ligeledes Artikel 29-gruppen, EU-U.S. Privacy Shield – First Annual Joint Review, 28.11.2017, WP 255 (punkt B.3), Parlamentets beslutning af 5.7.2018 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, P8_TA(2018)0315 (punkt 25 og 30), og EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22.1.2019 (punkt 94-97).

194 – Jf. i denne retning dom af 28.2.2013, fornyet prøvelse Arango Jaramillo m.fl. mod EIB (C-334/12 RX-II, EU:C:2013:134, præmis 43).

195 – Schrems-dommen, præmis 95.

196 – Det fremgår af stk. 1 i databeskyttelsesforordningens artikel 15, der har overskriften »Den registreredes indsigtsret«, at den registrerede »har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne […]«. Det »princip om indsigt«, der er fastsat i punkt II.8, litra a), i bilag II til afgørelsen om »værnet om privatlivets fred«, har samme betydning.

197 – Tele2 Sverige-dommen, præmis 121, og udtalelse 1/15, præmis 220. Som Facebook Ireland har anført, kan det derfor ikke systematisk kræves, at der gives underretning om de offentlige myndigheders adgang til oplysningerne. Menneskerettighedsdomstolen har i denne forbindelse udtalt, at »[i]t may not be feasible in practice to require subsequent notification«, for så vidt som den trussel, der er genstand for overvågningsforanstaltningerne, »may continue for years, even decades«, efter at disse foranstaltninger er blevet ophævet, hvilket indebærer, at underretningen kan »jeopardise the long-term purpose that originally prompted the surveillance« og »might serve to reveal the working methods and fields of operation of the intelligence services and […] to identify their agents« (Zakharov-dommen, § 287 og den deri nævnte retspraksis). Selv om det som følge af den manglende underretning i praksis kan være vanskelig at anvende de individuelle retsmidler i tilfælde af, at disse lovkrav tilsidesættes, kan andre garantier være tilstrækkelige til at beskytte retten til respekt for privatlivet (jf. ligeledes Centrüm för Rättvisa-dommen, §§ 164-167 og 171-178). Jf. punkt 330 i dette forslag til afgørelse.

198 – Jf. i denne forbindelse fodnote 210 i dette forslag til afgørelse.

199 – Jf. punkt 67 i dette forslag til afgørelse.

200 – Jf. EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22.1.2019 (s. 18, punkt 97).

201 – Jf. bl.a. dom af 11.7.1991, Verholen m.fl. (C-87/90 – C-89/90, EU:C:1991:314, præmis 24 og den deri nævnte retspraksis), og af 28.2.2013, fornyet prøvelse Arango Jaramillo m.fl. mod EIB (C-334/12 RX-II, EU:C:2013:134, præmis 43).

202 – USA’s regering har i lighed med den forelæggende ret imidlertid præciseret, at den overvågede person skal underrettes om en overvågningsforanstaltning i henhold til FISA’s section 702, såfremt de indsamlede oplysninger anvendes mod den pågældende inden for rammerne af en retslig procedure.

203 – Dom af 20.5.2003, Österreichischer Rundfunk m.fl. (C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 75), Digital Rights Ireland-dommen, præmis 33, Schrems-dommen, præmis 87, og udtalelse 1/15, præmis 124.

204 – Disse mekanismer er beskrevet i 95.-110. betragtning til afgørelsen om »værnet om privatlivets fred«. Kommissionen har i denne afgørelse inden for kategorien af regler, der vedrører »effektiv retsbeskyttelse«, foretaget en sondring mellem tilsynsmekanismer (jf. 92.-110. betragtning) og individuel klageadgang (jf. 111.-124. betragtning).

205 – Jf. punkt 298 i dette forslag til afgørelse.

206 – Det fremgår af 109. betragtning til afgørelsen om »værnet om privatlivets fred«, at »[den amerikanske justitsminister og direktøren for [NSA] kontrollerer overholdelsen, og agenturerne skal indberette eventuelle tilfælde af manglende overholdelse til FISC […], som kan ændre tilladelsen på dette grundlag«.

207 – Jf. punkt 333-340 i dette forslag til afgørelse.

208 – Jf. punkt 305 i dette forslag til afgørelse.

209 – Menneskerettighedsdomstolen har i sin praksis vedrørende foranstaltninger til overvågning af telekommunikation behandlet spørgsmålet om retsmidler i forbindelse med undersøgelsen af, om der foreligger »lovgivning«, og om indgrebet i udøvelsen af de rettigheder, der er sikret ved EMRK’s artikel 8, er nødvendigt (jf. bl.a. Zakharov-dommen (§ 236) og Centrüm för Rättvisa-dommen (§ 107)). I dom af 1.7.2008, Liberty m.fl. mod Det Forenede Kongerige (CE:ECHR:2008:0701JUD005824300, § 73), og Zakharov-dommen (§ 307) fastslog Menneskerettighedsdomstolen efter at have konstateret, at der var sket en krænkelse af EMRK’s artikel 8, at det ikke var nødvendigt at foretage en særskilt undersøgelse af det klagepunkt, der vedrørte denne konventions artikel 13.

210 – Selv om manglende underretning på et hvilket som helst trin ikke nødvendigvis er til hinder for, at en overvågningsforanstaltning kan opfylde betingelsen om at være »nødvendig i et demokratisk samfund«, er Menneskerettighedsdomstolen af den opfattelse, at den manglende underretning bringer adgangen til domstolene og dermed retsmidlernes effektivitet i fare (jf. bl.a. dom af 6.9.1978, Klass m.fl. mod Tyskland (CE:ECHR:1978:0906JUD000502971, §§ 57 og 58), Weber og Saravia-afgørelsen (§ 135) og Zakharov-dommen (§ 302)).

211 – Jf. i denne retning Centrum för Rättvisa-dommen (§ 105).

212 – I Big Brother Watch-dommen (§ 317) afviste Menneskerettighedsdomstolen at tilføje et krav om, at de berørte personer skulle underrettes om overvågningen, til de minimumsgarantier, der finder anvendelse på en overvågningsordning, som er kendetegnet ved masseaflytning af elektronisk kommunikation. Jf. ligeledes Centrüm för Rättvisa-dommen (§ 164). Henvisningen af disse domme til Menneskerettighedsdomstolens store afdeling har bl.a. til formål at opnå en fornyet prøvelse af denne konklusion.

213 – Begrebet uafhængighed omfatter et første eksternt aspekt, der forudsætter, at det pågældende organ er beskyttet mod indgreb og pres udefra, der kan bringe dets medlemmers uafhængige bedømmelse af de tvister, de får forelagt, i fare. Det andet, interne, aspekt hænger sammen med begrebet »upartiskhed« og vedrører det forhold, at der skal være den samme afstand til tvistens parter og deres respektive interesser for så vidt angår tvistens genstand. Jf. bl.a. dom af 19.9.2006, Wilson (C-506/04, EU:C:2006:587, præmis 50-52), af 25.7.2018, Minister for Justice and Equality (Mangler ved domstolssystemet) (C-216/18 PPU, EU:C:2018:586, præmis 63 og 65), og af 19.11.2019, A.K. m.fl. (Uafhængigheden for disciplinærafdelingen ved den øverste domstol) (C-585/18, C-624/18 og C-625/18, EU:C:2019:982, præmis 121 og 122). Retsinstansernes uafhængighed skal i overensstemmelse med princippet om magtens tredeling sikres i forhold til bl.a. den udøvende magt. Jf. dom af 19.11.2019, A.K. m.fl. (Uafhængigheden for disciplinærafdelingen ved den øverste domstol) (C-585/18, C-624/18 og C-625/18, EU:C:2019:982, præmis 127 og den deri nævnte retspraksis).

214 – I bilag III A til afgørelsen om »værnet om privatlivets fred« er der i denne forbindelse henvist til section 4(d) i PPD 28.

215 – Jf. 116. betragtning til afgørelsen om »værnet om privatlivets fred«.

216 – I dom af 31.5.2005, Syfait m.fl. (C-53/03, EU:C:2005:333, præmis 31), fremhævede Domstolen vigtigheden af sådanne garantier for at kunne opfylde betingelsen om uafhængighed. Jf. ligeledes i denne forbindelse dom af 24.6.2019, Kommissionen mod Polen (Den øverste domstols uafhængighed) (C-619/18, EU:C:2019:531, præmis 76), og af 5.11.2019, Kommissionen mod Polen (De almindelige domstoles uafhængighed) (C-192/18, EU:C:2019:924, præmis 113).

217 – Jf. 65. og 121. betragtning til og punkt 1 i bilag III A til afgørelsen om »værnet om privatlivets fred«.

218 – Det fremgår endvidere af 121. betragtning til afgørelsen om »værnet om privatlivets fred«, at »ombudsmanden skal »bekræfte«, at i) klagen er blevet behørigt undersøgt, og at ii) den relevante amerikanske lovgivning – herunder navnlig de begrænsninger og garantier, der er anført i bilag VI – er blevet overholdt, eller at den manglende overholdelse er blevet afhjulpet i tilfælde af en overtrædelse«.

219 – Kommissionen konstaterede i forbindelse med den tredje årlige revision af værnet om privatlivets fred, at USA’s regering var af den opfattelse, at i den situation, hvor ombudsmandens undersøgelse måtte vise, at der var sket en tilsidesættelse af de procedurer for målrettet overvågning og minimering, som FISC havde godkendt, skulle denne retsinstans gøres opmærksom på denne tilsidesættelse. FISC skulle derefter foretage en uafhængig undersøgelse, og om nødvendigt pålægge den berørte efterretningstjeneste at afhjælpe den nævnte tilsidesættelse. Jf. Commission staff working document accompanying the report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield, 23.10.2019, SWD(2019) 390 final, s. 28. Kommissionen har heri henvist til det dokument, der har overskriften »Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure«, og som er tilgængeligt på adressen https://www.state.gov/wp-content/uploads/2018/12/Ombudsperson-Mechanism-Implementation-Procedures-UNCLASSIFIED.pdf (s. 4 og 5).

220 – Jf. dom af 16.5.2017, Berlioz Investment Fund (C-682/15, EU:C:2017:373, præmis 55), og af 13.12.2017, El Hassani (C-403/16, EU:C:2017:960, præmis 39).