FORSLAG TIL AFGØRELSE FRA GENERALDVOKAT

M. BOBEK

fremsat den 13. januar 2021(1)

Sag C-645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

mod

Gegevensbeschermingsautoriteit

(anmodning om præjudiciel afgørelse indgivet af Hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien))

»Anmodning om præjudiciel afgørelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 55, 56, 58, 60, 61 og 66 – tilsynsmyndigheder – grænseoverskridende databehandling – one-stop-shop-mekanisme – ledende tilsynsmyndighed – berørt tilsynsmyndighed – kompetence – beføjelser – beføjelse til at indlede retssager«

I.      Indledning

1.        Tillader den generelle forordning om databeskyttelse (2) (herefter »databeskyttelsesforordningen«), at en medlemsstats tilsynsmyndighed anlægger sag ved en domstol i den pågældende medlemsstat for en påstået overtrædelse af denne forordning i forbindelse med grænseoverskridende databehandling i tilfælde, hvor denne myndighed ikke er den ledende tilsynsmyndighed for denne behandling?

2.        Eller er den nye »one-stop-shop«-mekanisme, der er udråbt som en af databeskyttelsesforordningens væsentlige nyskabelser, til hinder for en sådan mulighed? Hvis en dataansvarlig retsforfølges i en sag om grænseoverskridende databehandling anlagt af en tilsynsmyndighed ved en domstol uden for det sted, hvor den dataansvarliges hovedvirksomhed er beliggende, svarer dette da til en situation, hvor der er indledt »for mange sager«, og som dermed er uforenelig med den nye mekanisme i databeskyttelsesforordningen?

II.    Retsforskrifter

A.      EU-retten

3.        Det fremgår bl.a. af databeskyttelsesforordningens præambel, at »[m]ålsætningerne og principperne i direktiv 95/46/EF [...] stadig [er] gyldige, men direktivet har ikke forhindret en fragmentering af gennemførelsen af databeskyttelse i Unionen [og] manglende retssikkerhed« (niende betragtning), at det bør sikres, at databeskyttelsesreglerne anvendes konsekvent og ensartet overalt i Unionen« (tiende betragtning), at tilsynsmyndighederne bør føre tilsyn med anvendelsen af bestemmelserne og bidrage til ensartet anvendelse heraf for at beskytte fysiske personer og lette fri udveksling af personoplysninger på det indre marked« ([123]. betragtning), at »tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller for den dataansvarliges eller databehandlerens eneste etablering i Unionen [bør] fungere som ledende tilsynsmyndighed« i situationer med grænseoverskridende behandling og at denne myndighed skal »samarbejde med de andre berørte myndigheder« (124. betragtning).

4.        I henhold til databeskyttelsesforordningens artikel 51, stk. 1, »sikrer] [hver medlemsstat, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«)«.

5.        Ifølge databeskyttelsesforordningens artikel 55, stk. 1, »er [hver tilsynsmyndighed] kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område«.

6.        Databeskyttelsesforordningens artikel 56 vedrører den ledende tilsynsmyndigheds kompetence. Stk. 1 i denne bestemmelse lyder som følger:

»Uden at det berører artikel 55[,] er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60.«

7.        Artikel 56, stk. 2-5, fastsætter, at uanset stk. 1 er »hver tilsynsmyndighed kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat«. Sådanne sager kan håndteres af de ledende tilsynsmyndigheder i overensstemmelse med den procedure, der er fastsat i databeskyttelsesforordningens artikel 60, eller af den lokale tilsynsmyndighed i medfør af databeskyttelsesforordningens artikel 61 og 62 i de tilfælde, hvor »den ledende tilsynsmyndighed [beslutter] ikke at behandle sagen«.

8.        Det fremgår af artikel 56, stk. 6, at »[d]en ledende tilsynsmyndighed er den dataansvarliges eller databehandlerens eneste kontakt i forbindelse med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler«.

9.        Databeskyttelsesforordningens artikel 58, stk. 5, fastsætter følgende om tilsynsmyndigheders beføjelser:

»Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.«

10.      Databeskyttelsesforordningens kapitel VII, der har overskriften »Samarbejde og sammenhæng«, omfatter artikel 60-76. Artikel 60, der har overskriften »Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder«, fastsætter en detaljeret procedure for, hvorledes de ledende tilsynsmyndigheder skal håndtere grænseoverskridende databehandling.

11.      Databeskyttelsesforordningens artikel 61, stk. 2, om gensidig bistand pålægger endvidere alle tilsynsmyndigheder at træffe »alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen«. Det fremgår af databeskyttelsesforordningens artikel 61, stk. 8, at hvis en tilsynsmyndighed ikke giver de oplysninger, der er anmodet om, kan den anmodende tilsynsmyndighed vedtage en foreløbig foranstaltning på sin medlemsstats område, idet det antages, at kravet om behovet for at handle omgående i artikel 66, stk. 1, er opfyldt.

12.      Databeskyttelsesforordningens artikel 65, stk. 1, litra a), der har overskriften »Tvistbilæggelse ved Databeskyttelsesrådet«, fastsætter, at Det Europæiske Databeskyttelsesråd (herefter »Databeskyttelsesrådet«) med henblik på at sikre korrekt og konsekvent anvendelse af forordningen i hvert enkelt tilfælde skal vedtage en bindende afgørelse, bl.a. hvis en berørt tilsynsmyndighed er fremkommet med en relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende tilsynsmyndighed, eller den ledende tilsynsmyndighed har afvist en sådan indsigelse som værende uden relevans eller ubegrundet.

13.      Artikel 66, stk. 1, om hasteproceduren fastsætter, at når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, kan den uanset sammenhængsmekanismerne »omgående træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder«.

14.      Databeskyttelsesforordningens kapitel VIII, der har overskriften »Retsmidler, ansvar og sanktioner«, omfatter artikel 77-84. Artikel 77, stk. 1, giver enhver registreret ret til at indgive klage til en tilsynsmyndighed om en eventuel overtrædelse af forordningen i forbindelse med behandlingen af vedkommendes personoplysninger, »navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted«. Databeskyttelsesforordningens artikel 78, stk. 1 og 2, giver enhver fysisk eller juridisk person ret til effektive retsmidler over for bl.a. en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende og over for en tilsynsmyndighed, der ikke behandler en klage.

B.      National lovgivning

15.      Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (lov af 8.12.1992 om beskyttelse af privatlivets fred med hensyn til behandling af personoplysninger, herefter »WVP«), med senere ændringer, gennemførte i national ret Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (3). Ved denne lov oprettedes bl.a. den belgiske kommission for beskyttelse af privatlivets fred. I henhold til artikel 32, stk. 3, i denne lov »kan formanden for [kommissionen for privatlivets fred] med forbehold af de almindelige domstoles kompetence under anvendelse af de generelle principper om beskyttelse af privatlivets fred indbringe enhver tvist om anvendelsen af denne lov og gennemførelsesbestemmelserne for retten i første instans«.

16.      I henhold til artikel 3 i Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (lov af 3.12.2017 om oprettelse af den belgiske databeskyttelsesmyndighed, herefter »loven om databeskyttelsesmyndigheden«), der trådte i kraft den 25. maj 2018, oprettedes en databeskyttelsesmyndighed (herefter »databeskyttelsesmyndigheden«) til at træde i stedet for kommissionen for privatlivets fred. I overensstemmelse med artikel 6 i denne lov har databeskyttelsesmyndigheden »beføjelse til i medfør af denne lov og retsforskrifter med bestemmelser om beskyttelse i forbindelse med behandling af personoplysninger at indbringe krænkelser af grundprincipperne for beskyttelse af personoplysninger for domstolene og om nødvendigt indlede en retssag med henblik på at sikre håndhævelsen af disse grundprincipper«.

17.      Loven om databeskyttelsesmyndigheden indeholdt ingen specifik bestemmelse om retssager anlagt i medfør af WVP’s artikel 32, stk. 3, der stadig verserede den 25. maj 2018.

18.      WVP blev ophævet ved Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (lov af 30.7.2018 om beskyttelse af fysiske personer med hensyn til behandling af personoplysninger). Denne lov gennemfører databeskyttelsesforordningens bestemmelser, som pålægger eller tillader medlemsstaterne at vedtage mere detaljerede regler i tillæg til de fælles regler.

III. De faktiske omstændigheder, hovedsagen og de præjudicielle spørgsmål

19.      Den 11. september 2015 anlagde formanden for Belgiens kommission for privatlivets fred, der senere blev til databeskyttelsesmyndigheden, sag mod Facebook Inc., Facebook Ireland Ltd og Facebook Belgium BVBA (herefter under ét »Facebook«) ved Nederlandstalige rechtbank van eerste aanleg Brussel (den nederlandsksprogede ret i første instans i Bruxelles, Belgien). Sagen vedrørte overtrædelser af databeskyttelseslovgivningen, som Facebook angiveligt havde begået, gennem bl.a. ulovlig indsamling og brug af oplysninger om belgiske internetbrugernes personlige søgeadfærd ved hjælp af teknologier såsom »cookies«, »sociale plug-ins« og »pixels«.

20.      I alt væsentligt hævdede databeskyttelsesmyndigheden, at Facebook bruger forskellige teknologier til at overvåge og spore personer, når de bevæger sig frem og tilbage mellem websteder, og derefter anvender de indsamlede oplysninger til at foretage en profilering af disse personers søgeadfærd og på det grundlag vise dem målrettede reklamer uden at give de pågældende tilstrækkelig underretning herom og uden at indhente et gyldigt samtykke fra dem. Databeskyttelsesmyndigheden gjorde gældende, at Facebook udøver denne praksis, uanset om den pågældende person har tilsluttet sig Facebooks sociale netværk eller ej.

21.      Databeskyttelsesmyndigheden nedlagde påstand om, at Facebook skulle pålægges at ophøre med at placere cookies, der forbliver aktive i to år, på enheder tilhørende internetbrugere på den belgiske stats område uden deres samtykke, når brugerne besøger en webside på Facebook.com-domænet eller et websted tilhørende tredjemand, samt ophøre med i større omfang at indsamle oplysninger ved hjælp af sociale plug-ins og pixels på tredjemands websteder. Desuden nedlagde databeskyttelsesmyndigheden påstand om, at alle personoplysninger indhentet ved hjælp af cookies og sociale plug-ins om hver enkelt af de internetbrugere, der er hjemmehørende på den belgiske stats område, skulle slettes.

22.      Ved foreløbig kendelse af 9. november 2015 besluttede retspræsidenten for Nederlandstalige rechtbank van eerste aanleg Brussel (den nederlandsksprogede ret i første instans i Bruxelles, Belgien), at retten i første instans havde kompetence til at behandle sagen, og at sagen kunne antages til realitetsbehandling for alle tre sagsøgtes vedkommende. Retten i første instans besluttede også, at de sagsøgte skulle ophøre med visse handlinger, der havde konsekvenser for internetbrugere på den belgiske stats område.

23.      Den 2. marts 2016 appellerede Facebook kendelsen til Hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien). Ved dom af 29. juni 2016 ændrede appeldomstolen kendelsen fra retten i første instans. Appeldomstolen fandt især, at den ikke havde kompetence i sagerne mod Facebook Inc. og Facebook Ireland Ltd, mens den havde kompetence til at behandle sagen mod Facebook Belgium BVBA. Hovedsagen blev således beskåret til sagerne mod Facebook Belgium BVBA. Appeldomstolen fastslog også, at der ikke forelå uopsættelighed.

24.      Jeg har forstået, at den sag, der verserer for Hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien), på nuværende tidspunkt vedrører en appel af en efterfølgende realitetsafgørelse afsagt af retten i første instans. I forbindelse med appelsagen har Facebook Belgium bl.a. gjort gældende, at databeskyttelsesmyndigheden efter ikrafttrædelsen af databeskyttelsesforordningens nye »one-stop-shop«-mekanisme ikke længere er kompetent til at fortsætte behandlingen af hovedsagen, fordi den ikke er den ledende tilsynsmyndighed. I forbindelse med den omtvistede grænseoverskridende behandling er den ledende tilsynsmyndighed Irish Data Protection Commission (den irske databeskyttelsesmyndighed). Den dataansvarliges hovedvirksomhed i Den Europæiske Union er beliggende i Irland (Facebook Ireland Ltd).

25.      På denne baggrund har Hof van beroep te Brussel (appeldomstolen i Bruxelles) besluttet at udsætte sagen og at forelægge følgende præjudicielle spørgsmål for Domstolen:

»1)      Skal artikel [55, stk. 1], artikel 56-58 og [...] 60-66 i [databeskyttelsesforordningen] i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder fortolkes således, at en tilsynsmyndighed[, der] i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5,] har kompetence til at indlede en retssag [om tilsidesættelse af denne forordning] ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed [for] den grænseoverskridende behandling?

2)      Har det herved nogen betydning, hvis den [data]ansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat, men dog et andet etableringssted?

3)      Har det herved nogen betydning, hvis den nationale tilsynsmyndighed indleder retssagen mod den [data]ansvarlige hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?

4)      Har det herved nogen betydning, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen fandt anvendelse (den 25.5.2018)?

5)      Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5,] i [databeskyttelsesforordningen] da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset [at] denne forordnings artikel [58, stk. 5,] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?

6)      Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i [databeskyttelsesforordningen]?«

26.      Facebook, databeskyttelsesmyndigheden, den belgiske, den tjekkiske, den italienske, den polske, den portugisiske og den finske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. Facebook, databeskyttelsesmyndigheden og Kommissionen afgav ligeledes mundtlige indlæg i retsmødet afholdt den 5. oktober 2020.

IV.    Bedømmelse

27.      Det centrale spørgsmål i hovedsagen er kort sagt, om databeskyttelsesmyndigheden kan fortsætte retssagen mod Facebook Belgium om den grænseoverskridende behandling af personoplysninger, som har fundet sted efter databeskyttelsesforordningens ikrafttrædelse, når den databehandlende enhed er Facebook Ireland Ltd.

28.      For at besvare dette spørgsmål er det nødvendigt at vurdere anvendelsesområdet for og funktionsmåden af det, som selve databeskyttelsesforordningen i 127. betragtning henviser til som »one-stop-shop«-mekanismen. Denne mekanisme består af et sæt regler, der ved grænseoverskridende databehandling giver anledning til, at håndhævelse sker et centralt sted gennem en ledende tilsynsmyndighed (herefter »den ledende tilsynsmyndighed«), der indgår i ordningen med samarbejde og ensartede procedurer, og de berørte tilsynsmyndigheder (herefter »de berørte tilsynsmyndigheder«), og som har til formål at sikre involvering af alle relevante tilsynsmyndigheder.

29.      I henhold til databeskyttelsesforordningens artikel 56, stk. 1, handler en tilsynsmyndighed som den ledende tilsynsmyndighed for den grænseoverskridende behandling, som foretages af dataansvarlige og databehandlere, der har deres hovedvirksomhed eller eneste etablering på den pågældende stats område. I henhold til databeskyttelsesforordningens artikel 4, nr. 22), handler en tilsynsmyndighed som den berørte tilsynsmyndighed, hvis en af følgende alternative betingelser er opfyldt: »a) [D]en dataansvarlige eller databehandleren er etableret på denne tilsynsmyndigheds medlemsstats område, b) de registrerede, der har bopæl i denne tilsynsmyndigheds medlemsstat, [er] i væsentlig grad [...] påvirket af eller [vil] sandsynligvis i væsentlig grad [...] kunne blive påvirket af behandlingen, eller c) en klage er blevet indgivet til denne tilsynsmyndighed.«

30.      Inden indholdet af de præjudicielle spørgsmål behandles, er det nødvendigt at fremsætte visse indledende bemærkninger (A). Jeg vil derefter behandle de retlige spørgsmål, som den forelæggende ret har rejst. Jeg vil især fokusere på det første præjudicielle spørgsmål, eftersom dette spørgsmål er kernen i den tvist, der verserer for den forelæggende ret (B). Dernæst vil jeg summarisk behandle de øvrige præjudicielle spørgsmål, eftersom en besvarelse af de sidste spørgsmål enten bliver unødvendig eller relativt åbenlys, hvis første spørgsmål besvares i overensstemmelse med dette forslag til afgørelse (C).

A.      Indledende bemærkninger

31.      Jeg vil indledningsvis nævne, at det er vanskeligt for mig helt at forstå visse elementer af hovedsagen.

32.      For det første må jeg indrømme, at relevansen af de spørgsmål, der er forelagt i forbindelse med hovedsagen, efter min opfattelse ikke er helt indlysende, eftersom det blandt de parter, mod hvilke databeskyttelsesmyndigheden har anlagt sag, alene er Facebook Belgium, der stadig er sagsøgt i hovedsagen (4). Det fremgår af Domstolens sagsakter, at dette selskab hverken er den dataansvarliges »hovedvirksomhed« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 16), eller – eftersom det tilsyneladende er en etablering tilhørende samme virksomhed – eventuelt en »fælles dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 26 (5).

33.      Der foreligger imidlertid en formodning for, at de præjudicielle spørgsmål er relevante. Som følge heraf undlader Domstolen kun at træffe afgørelse i begrænsede tilfælde, når navnlig kravene i artikel 94 i Domstolens procesreglement ikke er opfyldt, eller når det klart fremgår, at fortolkningen af den relevante EU-ret savner enhver forbindelse med de faktiske omstændigheder, eller når spørgsmålene er af (ren) hypotetisk karakter (6). Efter min opfattelse er den foreliggende sag ikke en sådan sag. Spørgsmålene om, »hvem der er hvem«, og om, »hvem der egentlig kan retsforfølges for hvad«, er ikke blot en vurdering af de faktiske omstændigheder, som det i sidste ende tilkommer den nationale domstol at foretage, men på en måde også aspekter af de spørgsmål, der er forelagt Domstolen.

34.      For det andet er det tidsmæssige aspekt i hovedsagen heller ikke helt let at forstå. Sagen blev anlagt, mens direktiv 95/46 var gældende. Direktivet blev efterfølgende videreført, da databeskyttelsesforordningen trådte i kraft. Nu vedrører sagen imidlertid tilsyneladende kun adfærd, der er udvist efter ikrafttrædelsen af denne nye retlige ramme. Dette giver anledning til spørgsmålet om, hvorvidt det var i overensstemmelse med databeskyttelsesforordningens bestemmelser, at databeskyttelsesmyndigheden fortsatte sagen, hvilket er et forhold, der rejses i det fjerde spørgsmål. Dette spørgsmål er imidlertid kun relevant i hovedsagen, hvis en national myndighed har forsøgt at afslutte en verserende sag om påståede overtrædelser begået før ikrafttrædelsen af den nye retlige ramme. Hvis den verserende retssag på indeværende tidspunkt kun vedrører ulovligheder, der angiveligt er foretaget efter databeskyttelsesforordningens ikrafttrædelse, eventuelt med en påstand om nedlæggelse af et retsligt forbud (der nødvendigvis har virkning for fremtiden) mod en sådan praksis, er det imidlertid ikke let at forstå, hvorfor databeskyttelsesmyndigheden, såfremt denne myndighed anser sig for at have beføjelse til at foretage indgreb, ikke har afsluttet den verserende retssag og ikke har fulgt fremgangsmåden i de relevante bestemmelser i databeskyttelsesforordningen.

35.      For det tredje henviste databeskyttelsesmyndigeden i retsmødet til korrespondance, som denne myndighed havde haft med den irske tilsynsmyndighed og Databeskyttelsesrådet vedrørende en af de af Facebook anvendte teknologier til indsamling af data (cookies). Det er blevet anført, at de to tilsynsmyndigheder er uenige om, hvorvidt denne teknologi faktisk er omfattet af databeskyttelsesforordningens materielle anvendelsesområde.

36.      I denne henseende og i den foreliggende sag kan det være nyttigt at fremhæve, at visse databehandlingsaktiviteter faktisk kan henhøre under flere EU-retsakters materielle anvendelsesområde, og i sådanne tilfælde finder alle disse retsakter anvendelse samtidig, medmindre andet fremgår (7). I andre tilfælde, som f.eks. når behandlingsaktiviteterne ikke omfatter personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, stk. 1, finder databeskyttelsesforordningen åbenbart ikke anvendelse.

37.      I de tilfælde, hvor den hævdede ulovlighed af visse former for databehandling følger af andre (EU-retlige eller nationale) bestemmelser, kommer de procedurer og mekanismer, der er fastsat i databeskyttelsesforordningen, således ikke i spil. Databeskyttelsesforordningen kan ikke anvendes som en måde til at udvide »one-stop-shop«-mekanismen med yderligere adfærdsformer, der, selv om de involverer datastrømme eller endog databehandling, ikke er i strid med nogen af de deri fastsatte forpligtelser.

38.      En national domstol, herunder de forelæggende retter, bør for at kunne afgøre, hvorvidt en sag er omfattet af databeskyttelsesforordningens materielle anvendelsesområde, rejse spørgsmålet om den nøjagtige kilde til den retlige forpligtelse, der påhviler en økonomisk aktør, og som denne tilsyneladende har tilsidesat. Hvis kilden til denne forpligtelse ikke er databeskyttelsesforordningen, finder de procedurer, der er fastsat i den pågældende retsakt, og som vedrører retsaktens materielle anvendelsesområde, logisk set heller ikke anvendelse.

B.      Det første spørgsmål

39.      Med det første spørgsmål ønsker den forelæggende ret i alt væsentligt oplyst, om databeskyttelsesforordningens bestemmelser i lyset af artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) tillader, at en medlemsstats tilsynsmyndighed anlægger sag ved en ret i den pågældende medlemsstat for en påstået overtrædelse af databeskyttelsesforordningen i forbindelse med grænseoverskridende databehandling, selv hvis denne myndighed ikke er »den ledende tilsynsmyndighed«.

40.      I den forbindelse har databeskyttelsesmyndigheden og den belgiske, den italienske, den polske og den portugisiske regering foreslået Domstolen at besvare dette spørgsmål bekræftende, mens Facebook, den tjekkiske og den finske regering samt Kommissionen har forfægtet det modsatte synspunkt.

41.      I det følgende afsnit vil jeg forklare, hvorfor jeg ikke finder, at den fortolkning af databeskyttelsesforordningen, som databeskyttelsesmyndigheden og den belgiske, den italienske, den polske og den portugisiske regering har foreslået, er overbevisende: Såvel en ordlydsbaseret og systematisk fortolkning (1) som en teleologisk og historisk fortolkning (2) af databeskyttelsesforordningen peger tydeligt i den modsatte retning. Desuden kan hverken en fortolkning af forordningen i lyset af chartret (3) eller en mulig risiko for utilstrækkelig håndhævelse af databeskyttelsesforordningen (4) så tvivl om, hvad der efter min opfattelse er den korrekte fortolkning af databeskyttelsesforordningen, og i hvert fald ikke på nuværende tidspunkt.

42.      Når dette er sagt, er konsekvenserne af denne særlige forståelse af forordningen efter min opfattelse ikke så ekstreme som dem, Facebook, den tjekkiske og den finske regering samt Kommissionen har beskrevet. Jeg vil derfor forklare, hvorfor svaret til den forelæggende ret bør findes midt imellem de to opfattelser, der er fremført i den foreliggende sag: En medlemsstats tilsynsmyndighed har ret til at anlægge sag ved en ret i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen (5).

1.      En ordlydsbaseret og systematisk fortolkning af databeskyttelsesforordningen

43.      For det første understøtter ordlyden af de relevante bestemmelser efter min opfattelse og navnlig i sammenhæng med disse bestemmelser den fortolkning af databeskyttelsesforordningen, at den ledende tilsynsmyndighed har generel kompetence i forbindelse med grænseoverskridende behandling, og at den berørte tilsynsmyndighed implicit har begrænset beføjelse til at handle på dette område.

44.      Det fremgår af databeskyttelsesforordningens artikel 56, stk. 1, at »tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering [er] kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60« (8). Ifølge databeskyttelsesforordningens artikel 56, stk. 6 »[er d]en ledende tilsynsmyndighed [...] den dataansvarliges eller databehandlerens eneste kontakt i forbindelse med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler« (9). 124. betragtning gentager disse bestemmelser, hvoraf det i det væsentlige fremgår, at ved grænseoverskridende behandling »bør tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller for den dataansvarliges eller databehandlerens eneste etablering i Unionen fungere som ledende tilsynsmyndighed« (10).

45.      At den ledende tilsynsmyndighed har generel kompetence i forbindelse med grænseoverskridende databehandling bekræftes endvidere af, at de situationer, hvor andre tilsynsmyndigheder tillægges kompetence i forbindelse med grænseoverskridende behandling, beskrives som undtagelser fra den generelle regel. Databeskyttelsesforordningens artikel 55, stk. 2, udelukker navnlig den ledende tilsynsmyndigheds kompetence, når visse former for databehandling »foretages af offentlige myndigheder«. Databeskyttelsesforordningens artikel 56, stk. 2, fastsætter desuden som en undtagelse fra princippet om, at kompetencen tilkommer den ledende tilsynsmyndighed, at »hver tilsynsmyndighed [er] kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat«.

46.      Endvidere giver databeskyttelsesforordningens artikel 66 om »hasteproceduren« »under ekstraordinære omstændigheder« den pågældende berørte tilsynsmyndighed beføjelser, såfremt det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, til omgående at træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder, »uanset« de i databeskyttelsesforordningens artikel 60, 63, 64 og 65 omhandlede samarbejds- og sammenhængsmekanismer.

47.      Det står mig derfor forholdsvis klart på baggrund af databeskyttelsesforordningens ordlyd, at den ledende tilsynsmyndigheds som hovedregel har kompetence i forbindelse med grænseoverskridende behandling, og at det er en undtagelse, at de øvrige tilsynsmyndigheder har kompetence (11).

48.      Databeskyttelsesmyndigheden og visse regeringer har imidlertid anfægtet denne forståelse af databeskyttelsesforordningen. Efter deres opfattelse antydes det med ordlyden af de relevante bestemmelser, at enhver tilsynsmyndighed har en (næsten absolut) ret til at indlede retssag om en eventuel overtrædelse, der berører deres område, uanset om behandlingen er grænseoverskridende eller ej. De har hovedsageligt fremført to argumenter.

49.      For det første har de argumenteret for, at udtrykket »[u]den at det berører artikel 55«, som artikel 56, stk. 1, indledes med, indebærer, at den kompetence, der er tillagt den ledende tilsynsmyndighed ved sidstnævnte bestemmelse, hverken må gribe ind i eller begrænse de beføjelser, som hver tilsynsmyndighed er blevet tillagt ved førstnævnte bestemmelse, herunder beføjelsen til at indlede retssager.

50.      Jeg finder ikke dette argument overbevisende.

51.      Artikel 55, stk. 1, fastsætter princippet om, at hver tilsynsmyndighed »er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område«. Disse opgaver er anført i databeskyttelsesforordningens artikel 57. Beføjelserne er anført i forordningens artikel 58. Blandt de tildelte opgaver er især at føre tilsyn med og håndhæve anvendelsen af databeskyttelsesforordningen [artikel 57, stk. 1, litra a)]. I henhold til artikel 58 tildeles tilsynsmyndighederne forskellige undersøgelsesbeføjelser (stk. 1), korrigerende beføjelser (stk. 2), godkendelses- og rådgivningsbeføjelser (stk. 3) samt beføjelser til at deltage i retssager (stk. 5).

52.      Disse bestemmelser, som artikel 55 implicit henviser til, omfatter i alt væsentligt alle de opgaver og beføjelser, som tilsynsmyndighederne er tillagt i medfør af databeskyttelsesforordningen. Hvis man fulgte den fortolkning, som databeskyttelsesmyndigheden og visse regeringer har fremført, ville der praktisk talt intet være tilbage af den ledende tilsynsmyndigheds kompetence, og derved ville artikel 56 blive frataget ethvert betydningsindhold. Den ledende tilsynsmyndighed ville på ingen måde hverken være »den eneste« kontakt eller »leder« for de øvrige tilsynsmyndigheder. Den ledende tilsynsmyndigheds rolle vil formodentlig blive begrænset til et »informationscenter« uden en klart defineret opgave.

53.      Vigtigheden af den rolle, som den ledende tilsynsmyndighed er tillagt og implicit har som følge af »one-stop-shop«-mekanismen, træder endnu tydeligere frem, når disse bestemmelser læses samlet og ud fra sammenhængen.

54.      Den forrang, som artikel 56 har i den ordning, der er fastsat i medfør af databeskyttelsesforordningen, er den første indikation på, at dette er tilfældet. Artikel 56 er den anden bestemmelse i den relevante afdeling af databeskyttelsesforordningen (kapitel VI med overskriften »Uafhængige tilsynsmyndigheder«, afdeling 2 med overskriften »Kompetence, opgaver og beføjelser«), og den følger direkte efter den generelle bestemmelse om »kompetence« og før de andre generelle bestemmelser om »opgaver« og »beføjelser«. EU-lovgiver har derfor besluttet at fremhæve den centrale placering af den ledende tilsynsmyndigheds kompetence, før der gives en nærmere præcisering af alle tilsynsmyndighedernes specifikke opgaver og beføjelser.

55.      Mere grundlæggende bekræftes betydningen af den ledende tilsynsmyndigheds rolle også af bestemmelserne i databeskyttelsesforordningens kapitel VII med overskriften »Samarbejde og sammenhæng«, der beskriver de forskellige procedurer og mekanismer, som tilsynsmyndigheder skal følge for at sikre en konsekvent anvendelse af databeskyttelsesforordningen. Artikel 60, der indleder kapitlet, og som artikel 56, stk. 1, henviser til, fastsætter navnlig proceduren for »[s]amarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder«.

56.      Det er tydeligt, at intentionen er, at dette skal være den procedure, der skal følges, når det er nødvendigt at anlægge sag om håndhævelse i forbindelse med grænseoverskridende behandling. Ligesom de øvrige procedurer, der er fastlagt i databeskyttelsesforordningens kapitel VII, er denne procedure ikke valgfri. Det fremgår utvetydigt af de ufravigelige betingelser i især databeskyttelsesforordningens artikel 51, stk. 2, og artikel 63, at tilsynsmyndighederne skal samarbejde og effektuere samarbejdet ved (obligatorisk) brug af de procedurer og mekanismer, der er indført til dette formål.

57.      Udtrykket »uden at det berører artikel 55« i artikel 56, stk. 1, har derfor en anden betydning end den, databeskyttelsesmyndigheden har beskrevet. Efter min opfattelse indebærer denne formulering i den pågældende sammenhæng blot, at selv om den ledende tilsynsmyndighed i en konkret sag vedrørende grænseoverskridende behandling i henhold til databeskyttelsesforordningens artikel 56 er kompetent, bevarer alle tilsynsmyndighederne naturligvis de generelle beføjelser, de er tillagt i medfør af databeskyttelsesforordningens artikel 55 (og artikel 58).

58.      I henhold til databeskyttelsesforordningens artikel 55, stk. 1, skal medlemsstaterne give tilsynsmyndigheden mulighed for at udføre de opgaver og udøve de beføjelser, der er fastlagt i denne forordning. Denne bestemmelse tillægger således enhver tilsynsmyndighed en generel beføjelse (eller kompetence) til at handle inden for myndighedens geografiske område, og dette gælder uanset (»uden at det berører«), om behandlingen er grænseoverskridende eller ej, og i bekræftende fald handler den pågældende myndighed som den ledende tilsynsmyndighed eller som den berørte tilsynsmyndighed (12). Alligevel regulerer databeskyttelsesforordningens artikel 55 ikke enkeltsager og den måde, hvorpå denne beføjelse til at handle skal udøves i enkeltsager. Disse aspekter reguleres nemlig af andre bestemmelser i databeskyttelsesforordningen, hvilket i særdeleshed er bestemmelserne i forordningens kapitel VII. Hvorvidt en tilsynsmyndighed kan udøve sin generelle beføjelse til at handle, og hvilken fremgangsmåde den skal følge i sådanne situationer, afhænger ifølge disse bestemmelser bl.a. af, om denne myndighed er den ledende tilsynsmyndighed eller den berørte tilsynsmyndighed i forhold til en bestemt dataansvarlige eller databehandler (13).

59.      På dette punkt og i forhold til resultatet deler jeg således databeskyttelsesrådets opfattelse, som i en nyere udtalelse betegnede databeskyttelsesforordningens artikel 56, stk. 1, som en »ufravigelig bestemmelse« og som »lex specialis«: Denne bestemmelse »har [...] forrang [for den generelle regel i databeskyttelsesforordningens artikel 55], når der opstår en databehandlingssituation, som opfylder de heri fastsatte betingelser« (14).

60.      Jeg er derfor af den opfattelse, at databeskyttelsesmyndigheden og visse regeringer har fejlfortolket databeskyttelsesforordningens artikel 55 og artikel 56, stk. 1. Disse procesdeltagere tager den indledende del af artikel 56, stk. 1, ud af sammenhængen for at vende forholdet mellem reglen og undtagelsen. Dette medfører en udvanding af det normative indhold i adskillige af databeskyttelsesforordningens bestemmelser og umuliggør det formål, der bl.a. er fremhævet i tidende betragtning til denne forordning, om at sikre en mere konsekvent og ensartet anvendelse af databeskyttelsesreglerne. Den ville i alt væsentligt svare til at vende tilbage til den tidligere ordning i direktiv 95/46.

61.      For det andet har databeskyttelsesmyndigheden og visse regeringer gjort gældende, at det følger af selve ordlyden af databeskyttelsesforordningens artikel 58, stk. 5, at alle tilsynsmyndigheder skal kunne indlede retssager om enhver tænkelig overtrædelse af databeskyttelsesreglerne, der har konsekvenser for deres stats område, uanset behandlingens art (og uanset om behandlingen er lokal eller grænseoverskridende). Konsekvensen er – efter deres opfattelse – at selv hvis man fortolkede »one-stop-shop«-mekanismen som værende en begrænsning af andre tilsynsmyndigheders beføjelser i forbindelse med grænseoverskridende behandling, ville denne begrænsning kun kunne vedrøre forvaltningsmæssige sager og ikke retssager.

62.      Efter min opfattelse er det andet argument også uholdbart. Der begås i forbindelse med dette argument samme »synd« som i forbindelse med det tidligere argument, hvor en specifik bestemmelse i databeskyttelsesforordningen læses »klinisk isoleret« fra resten af forordningen samtidig med, at der lægges for meget i bestemmelsen.

63.      Databeskyttelsesforordningens artikel 58, stk. 5, lyder: »Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.«

64.      Denne bestemmelse fordrer, at medlemsstaterne dels tillader tilsynsmyndighederne at opretholde tætte relationer med de retslige myndigheder (herunder eventuelt strafferetlige myndigheder), dels giver tilsynsmyndighederne (ikke blot passiv, men også aktiv) søgsmålskompetence ved de nationale retsinstanser. Tilsynsmyndighederne bør med andre ord principielt være i stand til at samarbejde med retslige myndigheder og om nødvendigt indlede retssager. Jeg har forstået, at EU-lovgiver anså en sådan udtrykkelig bestemmelse for nødvendig, eftersom der på trods af ordlyden af artikel 28, stk. 3, i direktiv 95/46 (15) var betydelige forskelle mellem medlemsstaternes lovgivning på området, hvilket til gengæld skabte problemer med utilstrækkelig håndhævelse af beslutninger  (16). Den foreliggende sag, der blev anlagt, mens direktivet stadig var i kraft, giver følgende illustrative eksempel: Sagen rejste i medfør af national lovgivning spørgsmål om søgsmålskompetencen for kommissionen for privatlivets fred og om, hvorvidt der var et tilstrækkeligt grundlag for det af denne kommissions formand anlagte søgsmål.

65.      I lighed med det allerede anførte (17) følger det imidlertid af databeskyttelsesforordningens artikel 58, stk. 5, at alle tilsynsmyndigheder uden undtagelse skal have beføjelser, som i denne fase ikke er afhængige af (eller gælder frem til) beslutningen, hvorvidt myndigheden i en given sag er den kompetente ledende tilsynsmyndighed eller den berørte tilsynsmyndighed eller eventuelt slet ikke er berørt. Databeskyttelsesforordningens artikel 58, stk. 5, regulerer nemlig ikke de situationer, hvori og den måde, hvorpå beføjelsen til at anlægge sag udøves. Det er sandsynligvis også grunden til, at bestemmelsen indeholder udtrykket »om nødvendigt«. Dette er formålet med andre bestemmelser i databeskyttelsesforordningen.

66.      Desuden beskriver hverken ordlyden eller opbygningen af databeskyttelsesforordningens artikel 58, at det er muligt, således som databeskyttelsesmyndigheden har gjort gældende, at sondre mellem myndighedernes administrative beføjelser (der er underlagt »one-stop-shop«-mekanismens begrænsninger) og beføjelsen til at indlede retssager (der ikke er underlagt samme begrænsninger). Denne bestemmelse opregner stykke efter stykke de forskellige beføjelser, som tilsynsmyndighederne skal tillægges, og grupperer beføjelserne efter deres formål (undersøgende, korrigerende, rådgivende osv.). Stykkernes ordlyd ligner hinanden relativt meget, og i alt væsentligt anføres det, at hver tilsynsmyndighed har de deri fastsatte beføjelser.

67.      Jeg ser derfor ikke noget grundlag for at fortolke artikel 58, stk. 5, anderledes end samme bestemmelses stk. 1-3. Der findes to fortolkninger, og kun den ene kan være sand: Enten har hver tilsynsmyndighed alle disse beføjelser uden at være underlagt begrænsninger som følge af »one-stop-shop«-mekanismen, eller også skal alle disse beføjelser udøves i henhold til de procedurer og begrænsninger, der er fastsat i forordningen.

68.      Den første opfattelse kan ikke tiltrædes af de grunde, der er anført i punkt 51 og 52 ovenfor. Når databeskyttelsesforordningens artikel 58 læses i den sammenhæng, hvori den indgår, bliver det nemlig tydeligt, at det om noget er den modsatte opfattelse af, hvad databeskyttelsesmyndigheden og nogle regeringer har hævdet, der faktisk er korrekt.

69.      Alle tilsynsmyndigheder skal nemlig bidrage til, at forordningen anvendes korrekt og konsekvent. Med dette formål skal hver tilsynsmyndighed, uanset om denne i det konkrete tilfælde er den ledende tilsynsmyndighed eller den berørte tilsynsmyndighed, f.eks. undersøge de modtagne klager med den fornødne omhu (18). Selv når påståede overtrædelser vedrører grænseoverskridende behandling, og myndigheden ikke er den ledende tilsynsmyndighed, bør andre tilsynsmyndigheder kunne undersøge forholdet og yde et relevant bidrag, når de får en anmodning herom inden for rammerne af samarbejds- og sammenhængsmekanismerne (19) eller træffe hastende foranstaltninger. Det er dog op til den ledende tilsynsmyndighed generelt at vedtage bindende afgørelser med henblik på at håndhæve databeskyttelsesforordningen over for databehandleren eller den dataansvarlige (20). Som det fremgår af den nyere dom i sagen Facebook Ireland og Schrems, »skal den kompetente nationale tilsynsmyndighed, [...] hvor det er relevant, kunne anlægge sag ved de nationale domstole« (21). Derfor er forslaget om, at tilsynsmyndighederne skal kunne se bort fra sammenhængs- og samarbejdsmekanismerne, når de ønsker at anlægge sag, ikke foreneligt med databeskyttelsesforordningens ordlyd og Domstolens praksis.

70.      Ud fra et mere praktisk perspektiv ville det ydermere være ulogisk at forhindre en myndighed i at indlede en administrativ sag med henblik på at drøfte den formodede tilsidesættelse af databeskyttelsesreglerne med de berørte aktører og samtidig give den pågældende myndighed mulighed for omgående at indlede retssag om samme forhold. Retssager er ofte en sidste udvej, som en myndighed sandsynligvis vil tage i anvendelse, når et problem ikke kan løses effektivt gennem (formelle eller uformelle) drøftelser og afgørelser på administrativt plan.

71.      Den af databeskyttelsesmyndigheden foreslåede sondring, hvorefter det ikke er tilladt for en tilsynsmyndighed (administrativt) at undersøge, forberede, behandle og beslutte, men derimod tilladt straks at lægge sag an ved en retsinstans, bevæger sig faretruende tæt på at gøre administrative myndigheder til ganske tvivlsomme westernskuespillere, som skyder først og (måske) spørger bagefter, hvis de overhovedet spørger (»Når du skal skyde, så skyd! Tal ikke« (22)). Jeg er ikke sikker på, at dette ville være enten en rimelig eller passende metode for de administrative myndigheder at behandle formodede overtrædelser af databeskyttelsesreglerne.

72.      Desuden og endnu vigtigere ville det bane vejen for, at tilsynsmyndighederne let kan omgå de samarbejds- og sammenhængsmekanismer, der er fastsat i forordningen, hvis de får mulighed for frit at anlægge sag ved de nationale domstole, når de ikke kan udøve deres administrative beføjelser uden at anvende de nævnte mekanismer. Ved uenighed om et udkast til afgørelse ville både den ledende tilsynsmyndighed og den (enkelte) berørte tilsynsmyndighed kunne »tage sagen i egen hånd« og anlægge sag ved de nationale domstole og på den måde omgå den procedure, der er fastlagt i databeskyttelsesforordningens artikel 60, stk. 4, og artikel 65.

73.      Det ville endvidere indebære, at en af de væsentligste funktioner, som varetages af Databeskyttelsesrådet – et organ, der er oprettet i medfør af databeskyttelsesforordningen og sammensat af chefen for en tilsynsmyndighed i hver medlemsstat og af Den Europæiske Tilsynsførende for Databeskyttelse (23), ville blive indholdsløs. En af Databeskyttelsesrådets opgaver er netop at kontrollere og sikre en korrekt anvendelse af databeskyttelsesforordningen, når der opstår uenighed mellem forskellige tilsynsmyndigheder (24). I sådanne sager handler Databeskyttelsesrådet som et forum for bilæggelse af tvister og som et organ, der træffer afgørelser. Hvis den fortolkning, som databeskyttelsesmyndigheden og visse regeringer har argumenteret for, skal finde anvendelse, vil mekanismen i databeskyttelsesforordningens artikel 65 kunne blive sat helt ud af spillet, og den enkelte myndighed vil kunne gå sin egen vej uden om Databeskyttelsesrådet.

74.      Den deraf følgende situation forekommer at være det modsatte af EU-lovgivers intentioner med den nye ordning, som vil blive forklaret i det følgende afsnit.

2.      En teleologisk og historisk fortolkning af databeskyttelsesforordningen

75.      Som det fremgår af niende betragtning til databeskyttelsesforordningen, var EU-lovgiver af den opfattelse, at selv om »[m]ålsætningerne og principperne i direktiv 95/46/EF [...] stadig [er] gyldige« havde retsakten »ikke forhindret en fragmentering af gennemførelsen af databeskyttelse i Unionen, manglende retssikkerhed eller en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer«.

76.      Behovet for at sikre sammenhæng blev således bevæggrunden for den retsakt, der skulle erstatte direktiv 95/46. Dette formål blev anset for vigtigt ud fra to forskellige perspektiver: På den ene side var der et ønske om at sikre fysiske personer et ensartet og højt beskyttelsesniveau, og på den anden et ønske om at fjerne hindringerne for udveksling af personoplysninger inden for Unionen for at give erhvervsdrivende retssikkerhed og gennemsigtighed (25).

77.      Sidstnævnte aspekt bør fremhæves. I henhold til direktiv 95/46 skulle erhvervsdrivende med aktiviteter overalt i Den Europæiske Union følge de forskellige nationale regelsæt, der gennemførte direktivet, og samtidig samarbejde med alle nationale databeskyttelsesmyndigheder. Denne situation var ikke blot dyr, tung og tidskrævende for de erhvervsdrivende, men også en uundgåelig kilde til usikkerhed og konflikter for disse erhvervsdrivende og deres kunder (26).

78.      Grænserne for den ordning, der blev indført ved direktiv 95/46, er blevet tydelige i flere af Domstolens domme. Domstolen fastslog i Weltimmo-dommen, at databeskyttelsesmyndighedernes beføjelser var strengt begrænset af territorialprincippet, hvorefter disse myndigheder kun kan gribe ind over for overtrædelser begået inden for deres eget område, mens de i alle andre tilfælde skal anmode myndighederne i de øvrige medlemsstater om at gribe ind (27). I dommen i sagen Wirtschaftsakademie Schleswig-Holstein fastslog Domstolen, at enhver databeskyttelsesmyndighed ved grænseoverskridende behandling kan udøve sine beføjelser over for et organ, som er beliggende på statens område uafhængig af den nationale databeskyttelsesmyndigheds holdninger og handlinger i den medlemsstat, hvor organet med ansvar for denne behandling har sit hjemsted (28).

79.      I databehandlingens virtuelle verden er det imidlertid ofte problematisk at opdele de forskellige myndigheders kompetence efter territoriale grænser (29). Desuden er manglen på tydelige mekanismer for koordinering mellem de nationale myndigheder en kilde til inkonsekvens og usikkerhed.

80.      Indførelsen af »one-stop-shop«-mekanismen med den betydelige rolle, der blev tillagt den ledende tilsynsmyndighed, og de samarbejdsmekanismer, der blev indført for at inddrage andre tilsynsmyndigheder, havde således til formål at løse netop disse problemer (30). I Google-dommen (Territorial rækkevidde af retten til at få fjernet links) fremhævede Domstolen dels vigtigheden af samarbejds- og sammenhængsmekanismerne for at sikre en korrekt og sammenhængende anvendelse af databeskyttelsesforordningen, dels at de er obligatoriske (31). Generaladvokat Saugmandsgaard Øe har for nylig i dommen i sagen Facebook Ireland og Schrems ligeledes fremhævet, at de samarbejds- og sammenhængsmekanismer, der er indført ved databeskyttelsesforordningens kapitel VII, har til formål at undgå, at de forskellige tilsynsmyndigheder følger en uensartet tilgang ved grænseoverskridende behandling (32).

81.      Som databeskyttelsesmyndigheden ganske vist har fremhævet, forsøgte både Rådet og Parlamentet under lovgivningsprocessen at begrænse den ledende tilsynsmyndigheds kompetence, som Kommissionen oprindeligt havde forestillet sig. De ændringer, der til sidst blev indført i databeskyttelsesforordningens endelige ordlyd, sår dog ikke tvivl om, at forordningen skal fortolkes som belyst ovenfor, men bekræfter derimod denne fortolkning.

82.      Ifølge Kommissionens oprindelige forslag var det en forudsætning for »one-stop-shop«-mekanismen, at der i forbindelse med grænseoverskridende behandling skulle være en enkelt tilsynsmyndighed (den ledende tilsynsmyndighed), der var ansvarlig for at overvåge den dataansvarliges eller databehandlerens aktiviteter overalt i Den Europæiske Union og i den forbindelse træffe dermed forbundne afgørelser (33). Dette forslag gav imidlertid anledning til drøftelser i Rådet og Parlamentet.

83.      Rådet nåede til sidst til enighed om en ordlyd på grundlag af et forslag fra formandskabet (34). Dette forslag sår på ingen måde tvivl om »one-stop-shop«-mekanismen som sådan, som Rådet omtalte som »et af de centrale elementer« i den nye retlige ramme (35). Formandskabets forslag førte til sidst til to relativt specifikke ændringer.

84.      For det første ønskede Rådet at indføre visse undtagelser til den ledende tilsynsmyndigheds generelle kompetence i forhold til offentlige myndigheders behandling og i forhold til lokale tilfælde. Rådet foreslog således at indføre to bestemmelser, som ikke fremgik af Kommissionens forslag (36), og som nu er databeskyttelsesforordningens artikel 55, stk. 2, og artikel 56, stk. 2 (37).

85.      For det andet havde Rådet til hensigt at nedtone den ledende tilsynsmyndigheds rolle ved at gøre proceduren mere inkluderende. Ordlyden af Kommissionens forslag blev anset for i nogen grad at være tvetydig på dette punkt, hvilket kunne give den ledende tilsynsmyndighed enekompetence i forbindelse med grænseoverskridende databehandling. Der blev foretaget en række ændringer af ordlyden for at forbedre »nærheden« mellem fysiske personer og tilsynsmyndighederne (38). Andre kontrolmyndigheders involvering i beslutningsprocessen blev bl.a. øget væsentligt.

86.      Parlamentet støttede for sin del også etableringen af »one-stop-shop«-mekanismen ved at give den ledende tilsynsmyndighed en udvidet rolle, men foreslog en styrkelse af tilsynsmyndighedernes samarbejdsordning. Såvel begrundelsen for Parlamentets foreløbige betænkning (39) og Europa-Parlamentets lovgivningsmæssige beslutning af 12. marts 2014 (40) er relativt tydelige på dette punkt.

87.      Med Rådets og Parlamentets mellemkomst blev »one-stop-shop«-mekanismen, der tidligere havde en stærk hældning mod den ledende tilsynsmyndighed, i alt væsentligt ændret til en ordning med to mere afbalancerede elementer: Den ledende tilsynsmyndigheds førende rolle i forbindelse med grænseoverskridende behandling blev bevaret, men ledsages nu af en udvidet rolle for de øvrige tilsynsmyndigheder, der deltager aktivt i processen gennem samarbejds- og sammenhængsmekanismerne, idet Databeskyttelsesrådet er tillagt rollen som opmand og rådgiver i tilfælde af uenighed.

88.      En teleologisk og historisk fortolkning af databeskyttelsesforordningen bekræfter derfor vigtigheden af »one-stop-shop«-mekanismen og dermed den ledende tilsynsmyndigheds generelle kompetence i forbindelse med grænseoverskridende databehandling. Den fortolkning af databeskyttelsesforordningens bestemmelser, som databeskyttelsesmyndigheden og visse regeringer har fremført, er ikke forenelig med EU-lovgivers hensigt, som den kan udledes af denne forordnings præambel og bestemmelser samt af forarbejderne.

89.      Jeg konkluderer således, at en ordlydsbaseret, teleologisk og historisk tilgang til fortolkningen af de relevante bestemmelser i databeskyttelsesforordningen bekræfter, at tilsynsmyndighederne er forpligtede til at overholde kompetencereglerne samt de samarbejds- og sammenhængsmekanismer, der er fastsat i forordningen, og procedurerne herfor. Når der foreligger grænseoverskridende behandling, skal de pågældende myndigheder handle inden for den ramme, der er etableret ved databeskyttelsesforordningen.

90.      Databeskyttelsesmyndigheden og visse regeringer har imidlertid fremført to supplerende sæt argumenter, som efter deres opfattelse taler for en styrkelse af alle tilsynsmyndigheders beføjelser til at handle ensidigt, selv i forbindelse med grænseoverskridende behandling. I de følgende afsnit vil jeg forklare, hvorfor disse argumenter i hvert fald ikke på nuværende tidspunkt giver anledning til tvivl om den fortolkning af databeskyttelsesforordningen, som jeg har anført ovenfor.

3.      En fortolkning af databeskyttelsesforordningen i lyset af chartret

91.      Databeskyttelsesmyndigheden har anført, at tilsynsmyndighederne nødvendigvis må have en absolut beføjelse til at anlægge sag mod databehandlere og dataansvarlige, herunder i de tilfælde, hvor behandlingen efter sin karakter er grænseoverskridende, for at sikre efterlevelse af chartrets artikel 7, 8 og 47. Efter min opfattelse er der to hovedhensyn, der ligger til grund for databeskyttelsesmyndighedens argumentation på dette punkt, selv om denne myndighed i sit indlæg ikke har fremført nogen af dem i deres helhed (41).

92.      Databeskyttelsesmyndighedens første bekymring synes at vedrøre reduktionen i antallet af myndigheder, der kan gribe ind over for en bestemt adfærd. Der forekommer at være en uudtalt antagelse i denne opfattelse, nemlig at et højt beskyttelsesniveau forudsætter flere myndigheder, der kan håndhæve databeskyttelsesforordningen, også selv om de handler parallelt. Det betyder med andre ord, at jo mere myndighederne er involveret, des højere bliver beskyttelsesniveauet.

93.      Jeg mener ikke, at dette nødvendigvis er tilfældet, i hvert fald ikke for så vidt angår beskyttelsesniveauet.

94.      Som Domstolen har anført, forsøger EU-lovgivningen om databeskyttelse i lyset af chartrets artikel 7 og 8 ganske vist at sikre et højt beskyttelsesniveau for bl.a. den grundlæggende ret til respekt for privatliv i forbindelse med behandlingen af personoplysninger (42).

95.      EU-lovgiver var alligevel af den opfattelse, at der er behov for et »højt niveau for beskyttelse af fysiske personer« for at sikre en »stærk og mere sammenhængende databeskyttelsesramme«  (43). Med henblik herpå har den ramme, der blev etableret med databeskyttelsesforordningen, til formål at sikre sammenhæng på alle niveauer: For fysiske personer, for erhvervsdrivende, for dataansvarlige og databehandlere samt for tilsynsmyndighederne (44). I forbindelse med sidstnævnte er det som bekræftet i 116. betragtning et ønske med databeskyttelsesforordningen at fremme et »tættere samarbejde« mellem dem (45).

96.      I modsætning til de argumenter, som databeskyttelsesmyndigheden har fremført, er det at stræbe efter et højt beskyttelsesniveau for registreredes rettigheder og frihedsrettigheder i EU-lovgivers øjne helt i overensstemmelse med den ovenfor illustrerede »one-stop-shop«-mekanismes funktion. Ved at tillade en mere sammenhængende, effektiv og transparent tilgang på området burde de samarbejds- og sammenhængsmekanismer, der er fastsat i databeskyttelsesforordningen, bidrage til at lægge større vægt på fremme og beskyttelse af de rettigheder, der bl.a. er sikret ved chartrets artikel 7 og 8.

97.      Med andre ord udelukker et sammenhængende og ensartet beskyttelsesniveau ikke, at denne beskyttelse placeres på et højt niveau. Det er blot et spørgsmål om, hvor den fælles målestok skal sættes. Det er trods alt tvivlsomt, om det reelt vil fremme målet om at sikre et højt beskyttelsesniveau for fysiske personers rettigheder, at tilsynsmyndighederne på samme tid kan foretage flere potentielt modstridende handlinger, der ikke indbyrdes hænger sammen. Det kunne siges, at sammenhæng og klarhed opnået af tilsynsmyndighederne ved en fælles indsats ville bidrage mere til at opnå dette mål.

98.      Den anden bekymring, som databeskyttelsesmyndigheden har givet udtryk for, vedrører spørgsmålet om nærhed mellem de fysiske personer, der indgiver klage, og de myndigheder, som i sidste ende skal behandle klagen. Spørgsmålet er i det væsentlige, om fysiske personer reelt kan anlægge sag til prøvelse af, om tilsynsmyndighederne har behandlet eller undladt at behandle deres klager.

99.      Databeskyttelsesforordningens artikel 78 bekræfter nemlig, at fysiske og juridiske personer skal have adgang til effektive retsmidler over for en tilsynsmyndighed. Retsmidlerne fastlagt i databeskyttelsesforordningen må desuden for at være i overensstemmelse med chartrets artikel 47 heller ikke forudsætte, at de registrerede skal overholde detaljerede regler, som i lyset af deres status som fysiske personer uforholdsmæssigt kan påvirke deres ret til domstolsprøvelse (f.eks. ved at øge omkostningerne eller forhale behandlingen) (46).

100. Det forklares imidlertid ikke tydeligt i nogen af de (forholdsvis vage) argumenter, som alle parterne har fremført herom, hvorfor den fortolkning af databeskyttelsesforordningen, som Facebook, den tjekkiske og den finske regering samt Kommissionen har gjort gældende, skulle være i strid med chartrets artikel 47.

101. For det første giver databeskyttelsesforordningen udtrykkeligt de registrerede ret til at anlægge sag mod både dataansvarlige og databehandlere samt mod tilsynsmyndigheder. På det strukturelle plan er det derfor ikke åbenlyst, hvorfor databeskyttelsesforordningen ikke er forenelig med chartrets artikel 47.

102. Hvad angår de registreredes ret til at anlægge sag mod dataansvarlige og databehandlere, kan de vælge mellem at anlægge sag ved en domstol i de medlemsstater, hvor den dataansvarlige eller databehandleren er etableret, eller hvor den registrerede er bosiddende (47). Denne regel forekommer at være gunstig for eller i det mindste uproblematisk for de registrerede (48).

103. Hvad angår de registreredes ret til at anlægge sag mod tilsynsmyndighederne er situationen mere kompleks. For det første har de registrerede ret til at anfægte såvel tilsynsmyndighedernes handlinger som deres undladelse af at handle. De kan anlægge sag mod enhver tilsynsmyndighed, som »ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder« (49).

104. Søgsmål mod kontrolmyndighederne skal dog til forskel fra søgsmål mod dataansvarlige og databehandlere anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret (50). Selv om denne regel kan forekomme mindre gunstig for fysiske personer, skal det erindres, at hvis en klage fra en registreret helt eller delvist afslås eller afvises, skal den pågældende afgørelse i henhold til databeskyttelsesforordningens artikel 60, stk. 8 og 9, træffes og meddeles den registrerede af den tilsynsmyndighed, som den registrerede har klaget til. Dette gælder, uanset om denne myndighed er den ledende tilsynsmyndighed eller ej, hvilket (om nødvendigt) gør det muligt for den registrerede at anlægge sag i sin egen medlemsstat.

105. Hensigten med disse mekanismer, hvormed kompetencen til at træffe afgørelser og om nødvendigt eventuelt at træffe afgørelser på to trin (den ledende tilsynsmyndighed over for den dataansvarlige og databehandleren og den lokale myndighed over for klageren), er netop at undgå, at de registrerede skal »gå fra domstol til domstol« i hele Den Europæiske Union for at anlægge sag mod passive tilsynsmyndigheder.

106. Jeg medgiver ikke desto mindre, at en sådan løsning kan rejse en række praktiske spørgsmål. Hvad vil det nøjagtige indhold være af hver enkelt af disse afgørelser? Vil indholdet være identisk (51) eller forskelligt? Har en registreret ret til at anfægte alle de forhold, som vedkommende mener vedrører hans eller hendes sag, selv når forholdene reelt indgår i den ledende tilsynsmyndigheds afgørelse? Eller vil afgørelsen fra den tilsynsmyndighed, som den registrerede har klaget til, for en stor dels vedkommende være en »tom skal«, der blot formelt behandler den enkelte klage, mens alt reelt indhold afgøres af den ledende tilsynsmyndighed? Ville den registrerede i dette tilfælde for reelt at få adgang til »effektive retsmidler« som omhandlet i databeskyttelsesforordningens artikel 78 og chartrets artikel 47 under alle omstændigheder skulle anlægge sag ved domstolen i den medlemsstat, hvor den ledende tilsynsmyndighed er etableret? Hvorledes skal reglerne om adgang til effektive retsmidler finde anvendelse på en gennemgang af underliggende afgørelser på enten horisontalt plan (blandt kontrolmyndigheder, der handler samlet) eller på vertikalt plan (ved gennemgangen af en udtalelse eller afgørelse fra Databeskyttelsesrådet i forbindelse med sammenhængsmekanismen, der sandsynligvis i virkeligheden vil danne grundlag for en tilsynsmyndigheds endelige afgørelse) (52)?

107. Der er nok vanskelige spørgsmål. Det kan dog i praksis senere vise sig, at der er reelle problemer med kvaliteten eller endog det beskyttelsesniveau, der er indbygget i den nye ordning. For nuværende er sådanne mulige problemer dog alene formodninger. Der er på dette tidspunkt ikke fremlagt oplysninger for Domstolen, som peger på reelle problemer i denne forbindelse og på ingen måde heller i den foreliggende sag.

4.      Mulig utilstrækkelig håndhævelse af databeskyttelsesforordningen

108. Databeskyttelsesmyndigheden har i alt væsentligt argumenteret for, at håndhævelse af databeskyttelsesforordningen i grænseoverskridende situationer ikke kan overlades alene til den ledende tilsynsmyndighed og til de registrerede, der er berørt af behandlingen. Det er den enkelte tilsynsmyndigheds rolle med sine handlinger at beskytte fysiske personers rettigheder i forbindelse med behandlingen af personoplysninger. Navnlig kan en tilsynsmyndighed ikke på dækkende vis udføre sin opgave, hvis det hver eneste gang overlades til en anden myndigheds skøn at afgøre, hvorvidt der skal gribes ind over for en mistanke om en overtrædelse, og i givet fald med hvilken fremgangsmåde.

109. Dette argument svarer efter min opfattelse i alt væsentligt til en direkte anfægtelse af den nye samarbejdsmekanisme, der er indført med databeskyttelsesforordningen. Mit svar herpå indeholder to aspekter: På den ene side kan databeskyttelsesforordningen med udgangspunkt i den eksisterende lovgivning siges at indeholde indeholder mekanismer, der har til formål at undgå sådanne scenarier. På den anden side er det i forhold til den nye ordnings faktiske funktion og virkning på nuværende tidspunkt præmaturt og hypotetisk at tale om en sådan frygt.

110. For det første bør det indledningsvis præciseres, at den omstændighed, at en tilsynsmyndighed ikke er den ledende tilsynsmyndighed for en bestemt dataansvarlig eller databehandler, på ingen måde indebærer – som databeskyttelsesmyndigheden har gjort gældende – at der ikke kan ske retsforfølgelse af de overtrædelser af databeskyttelsesforordningen, der er strafferetlige overtrædelser. Beføjelsen til at »indbringe overtrædelser af denne forordning for de judicielle myndigheder« som fastsat i artikel 58, stk. 5, omfatter naturligvis beføjelsen til at samarbejde med strafferetlige myndigheder som f.eks. anklagemyndigheden. Denne beføjelse er i overensstemmelse med tilsynsmyndighedernes opgave med at kontrollere og håndhæve anvendelsen af databeskyttelsesforordningen inden for deres område; den svækker ikke samarbejds- og sammenhængsmekanismernes mulighed for at fungere effektivt som fastsat i databeskyttelsesforordningens kapitel VII. Det behøver i denne forbindelse næppe at blive fremhævet, at selv om disse mekanismer er obligatoriske for tilsynsmyndighederne, finder de ikke anvendelse på andre medlemsstaters myndigheder og navnlig ikke på myndigheder, der har til opgave at forfølge straffelovsovertrædelser.

111. For det andet og endnu vigtigere er det forholdsvis tydeligt, når den ordning, der er indført med databeskyttelsesforordningen, betragtes i sin helhed, at den ledende tilsynsmyndighed ikke er den eneste, der kan håndhæve databeskyttelsesforordningen i grænseoverskridende situationer. Den ledende tilsynsmyndighed er i højere grad primus inter partes. Generelt kan en ledende tilsynsmyndighed kun handle (administrativt eller retsligt) med samtykke fra de berørte tilsynsmyndigheder. Inden for rammerne af den procedure, der er fastlagt i databeskyttelsesforordningens artikel 60, er den ledende tilsynsmyndighed forpligtet til at søge konsensus (53). Den ledende tilsynsmyndighed kan ikke se bort fra de berørte tilsynsmyndigheders synspunkter. Den ledende tilsynsmyndighed er ikke blot forpligtet til at »tage behørigt hensyn« til deres synspunkter, men enhver formel indsigelse fra en berørt tilsynsmyndighed bevirker, at vedtagelsen af udkastet til den ledende tilsynsmyndigheds afgørelse midlertidigt blokeres. I sidste ende afgøres eventuelle vedvarende forskelle i myndighedernes synspunkter af et særligt organ (Databeskyttelsesrådet), der er sammensat af repræsentanter for alle Unionens tilsynsmyndigheder. Den ledende tilsynsmyndighed har i den forbindelse ikke større magt end nogen anden myndighed (54).

112. Som det blev beskrevet af den tidligere Europæiske Tilsynsførende for Databeskyttelse, P. Hustinx, skal den ledende tilsynsmyndigheds rolle inden for databeskyttelsesforordningens ordning »ikke ses som enekompetence, men som en struktureret måde til at samarbejde med andre lokale, kompetente tilsynsmyndigheder« (55). Databeskyttelsesforordningen foreskriver et fælles ansvar for at kontrollere og sikre en konsekvent anvendelse af databeskyttelsesforordningen. Tilsynsmyndighederne har i denne henseende fået overdraget opgaver og er blevet udstyret med visse beføjelser; de er blevet tildelt rettigheder, men er også blevet pålagt visse opgaver. Blandt disse opgaver er forpligtelsen til at følge visse procedurer og mekanismer, der skal sikre sammenhæng. En myndigheds ønske om at indtage en »egenrådig« holdning (56) i forbindelse med håndhævelsen af databeskyttelsesforordningen (ved domstolene) uden at samarbejde med de øvrige myndigheder kan heller ikke forliges hverken med forordningens bogstav eller forordningens ånd.

113. Som nævnt i punkt 76 og 77 ovenfor bygger databeskyttelsesforordningen på en hårfin balance mellem behovet for at sikre et højt beskyttelsesniveau for fysiske personer og behovet for at fjerne hindringer for udveksling af personoplysninger inden for Unionen. Disse to formål er, som det fremgår tydeligt af især tiende betragtning til og artikel 1, stk. 1, i databeskyttelsesforordningen, uløseligt forbundne. De nationale tilsynsmyndigheder skal derfor sikre en rimelig afvejning af disse formål, således som Domstolen også kontinuerligt har fremhævet i sine første domme inden for databeskyttelsesområdet (57). Databeskyttelsesforordningens artikel 51, stk. 1, afspejler i definitionen af tilsynsmyndighedernes opgave denne tilgang (58).

114. For det tredje fastsætter databeskyttelsesforordningen ikke blot mekanismer til at afhjælpe de forskelle, der findes med hensyn til den måde, hvorpå bestemmelserne håndhæves, dvs. at mægle mellem tilsynsmyndighedernes modstridende synspunkter og udtalelser. Forordningen indeholder ligeledes mekanismer, der har til formål at afskaffe administrativ langsommelighed. Der er især tale om situationer, hvor en ledende tilsynsmyndighed på grund af manglende ekspertise og/eller medarbejdere eller af andre årsager slet ikke foretager nogen vedkommende handling for at undersøge eventuelle overtrædelser af databeskyttelsesforordningen og om nødvendigt håndhæve reglerne.

115. Databeskyttelsesforordningen kræver i princippet, at den ledende tilsynsmyndighed tager omgående handling i sager om grænseoverskridende behandling. I henhold til databeskyttelsesforordningens artikel 60, stk. 3, skal en ledende tilsynsmyndighed »straks [underrette] de andre berørte tilsynsmyndigheder om sagens relevante oplysninger [og] straks [forelægge] de andre berørte tilsynsmyndigheder et udkast til afgørelse med henblik på deres udtalelse og [tage] behørigt hensyn til deres synspunkter« (59).

116. Hvis en ledende tilsynsmyndighed ikke overholder denne forpligtelse eller mere generelt undlader at handle, når det er nødvendigt, må man spørge sig selv, om der findes retsmidler for de berørte tilsynsmyndigheder, der er villige til at foretage en undersøgelse og eventuelt håndhæve afgørelsen (60). Efter min opfattelse kan disse myndigheder følge mindst to forskellige spor, som ikke udelukker hinanden.

117. En tilsynsmyndighed kan for det første i henhold til databeskyttelsesforordningens artikel 61, stk. 1 og 2, anmode en anden tilsynsmyndighed om at give »relevante oplysninger og [yde] gensidig bistand med henblik på at gennemføre og anvende [databeskyttelsesforordningen]« (61). En sådan anmodning kan tage form af en anmodning om oplysninger, herunder »om gennemførelsen af en undersøgelse«, eller om andre anmodninger om bistand (herunder at udføre tilsyn og undersøgelser eller at træffe foranstaltninger til at sikre et effektivt samarbejde). Enhver sådan anmodning skal besvares af den anmodede myndighed »uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen«.

118. Ifølge databeskyttelsesforordningens artikel 61, stk. 5 og 8, giver et manglende svar inden for den fastsatte frist eller et afslag på at efterkomme anmodningen den anmodende myndighed mulighed for at »vedtage en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 55, stk. 1«. I sådanne tilfælde »antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2« (62).

119. Denne mekanisme kan efter min opfattelse også bruges (og det har sandsynligvis været hensigten, at den skal bruges (63)) over for den ledende tilsynsmyndighed af den berørte tilsynsmyndighed. Hvis den ledende tilsynsmyndighed undlader at handle i en konkret sag om grænseoverskridende behandling på trods af en anmodning herom fra en berørt tilsynsmyndighed, giver det den berørte tilsynsmyndighed mulighed for at træffe de hastende foranstaltninger, der anses for nødvendige for at beskytte de registreredes interesser. Der foreligger nemlig en formodning for, at der foreligger ekstraordinære omstændigheder, der begrunder det presserende behov for at handle, og som ikke behøver blive dokumenteret.

120. Databeskyttelsesforordningens artikel 64, stk. 2, giver for det andet enhver tilsynsmyndighed (eller Databeskyttelsesrådets formand eller Kommissionen) mulighed for at »kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Databeskyttelsesrådet med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61 [...]« (64).

121. Det er ikke helt tydeligt, om Databeskyttelsesrådets afgørelse er juridisk bindende for den pågældende ledende tilsynsmyndighed (65). Det fremgår imidlertid af databeskyttelsesforordningens artikel 65, stk. 1, litra c), at når en kompetent tilsynsmyndighed ikke følger den udtalelse, som Databeskyttelsesrådet har afgivet i henhold til artikel 64, kan alle berørte tilsynsmyndigheder (eller Kommissionen) oversende sagen til Databeskyttelsesrådet og dermed indlede den procedure for bilæggelse af tvisten, der er fastsat til dette formål. Sidstnævnte procedure fører i sidste ende til en bindende afgørelse (66).

122. Når dette er sagt, må det medgives, at de to mekanismer belyst ovenfor (henholdsvis databeskyttelsesforordningens artikel 61 og 66 samt databeskyttelsesforordningens artikel 64 og 65) er forholdsvis omstændelige. Det står ikke altid krystalklart, hvordan de reelt fungerer. Hvis de ovennævnte bestemmelser på papiret forekommer egnede til at undgå disse problemer, er det derfor alene den fremtidige anvendelse af bestemmelserne, der kan vise, om de i virkeligheden viser sig at være »papirtigere«.

123. Dette fører mig til andet aspekt af det argument, der er fremført i forbindelse med den utilstrækkelige håndhævelse og som ikke mindst på nuværende tidspunkt er både temmelig hypotetisk og ikke underbygget. Jeg må indrømme, at hele systemet efter min opfattelse kunne trænge til en større revision, hvis de problemer, som databeskyttelsesmyndigheden og nogle af intervenienterne har beskrevet eller snarere antydet som værende forbundet med utilstrækkelig håndhævelse af databeskyttelsesforordningen, blev til virkelighed.

124. Ud fra et strukturelt synspunkt kunne dette rent faktisk være tilfældet, hvis den nye struktur førte til reguleringsmæssige »skjulesteder« for visse aktører, som efter at de reelt selv havde valgt deres nationale reguleringsmyndighed ved at placere deres hovedvirksomhed i Unionen ud fra den ønskede reguleringsmyndighed, ikke ville blive kontrolleret, men derimod effektivt beskyttet mod en bestemt ledende tilsynsmyndighed af de øvrige reguleringsmyndigheder. Kun få kan være uenige i, at reguleringsmæssig konkurrence i form af et kapløb mod bunden blandt medlemsstaterne ville være lige så usundt og farligt som manglende sammenhæng i retsakterne, hvilket var den mangel, der var kendetegnende for den tidligere ordning, hvor der var mangel på koordinering og sammenhæng. Det ville være muligt at undgå manglende sammenhæng og forskelle inden for regulering af netværk ved at fremme konsensus og samarbejde. Alligevel er der en tendens til, at prisen for konsensus er, at de aktive myndigheder blokeres, ikke mindst i en ordning, hvor der er behov for øget samordning for overhovedet at nå frem til en afgørelse. Inden for rammerne af sådanne ordninger kan et kollektivt ansvar medføre kollektiv uansvarlighed og en deraf følgende langsommelighed.

125. I relation til sådanne mulige farer er den juridiske ramme, der er indført ved databeskyttelsesforordningen, imidlertid stadig i sin vorden. Det er ikke let at forudse – navnlig ikke for en domstol, hvis sammenhængen er en enkelt sag med et forholdsvis speciel sagsgenstand – hvorledes de mekanismer, der er indført ved denne forordning, vil fungere i praksis, og hvor effektive de vil være. Med en sådan ramme rådes der til forsigtighed ligesom ved de potentielle spørgsmål, der opstår med hensyn til beskyttelse af grundlæggende rettigheder og fortolkningen af, hvorvidt chartret er overholdt (67).

126. Efter min opfattelse ville det være en dårlig idé, hvis Domstolen valgte at foretage en væsentlig ændring af denne ramme, som er et (velafbalanceret og omhyggeligt udarbejdet) produkt af en lang og intens lovgivningsproces, ved at fortolke enkelte sætninger, der er taget ud af deres sammenhæng, og som for nuværende er baseret på antagelser og spekulationer. Dette gælder så meget desto mere, hvis den fortolkning, som visse parter har foreslået, i alt væsentligt blot består i at tage nogle af forordningens centrale dele ud af deres sammenhæng og dermed de facto at foretage en tilbagevenden til den tidligere ordning i direktiv 95/46, hvis institutionelle dimension udtrykkeligt og tydeligt var blevet forkastet af EU-lovgiver.

127. Den yderst klare lovgivningsmæssige udformning, der, som det fremgår af de foregående afsnit i dette forslag til afgørelse, kommer til udtryk i såvel databeskyttelsesforordningens ordlyd som dens opbygning, samt i lovgivers hensigt, som der er redegjort for, giver et svar på andre potentielle strukturelle betænkeligheder, såsom dem, der vedrører hensynet til den rette balance mellem offentligretlig og privatretlig håndhævelse af reglerne om databeskyttelse og databeskyttelsesforordningen. Giver det mening at begrænse den offentligretlige håndhævelse til én myndighed og dermed til en enkelt medlemsstat, som først vil finde sted efter en langvarig og omstændelig administrativ procedure, mens den privatretlige håndhævelse af de samme regler i praksis sandsynligvis vil foregå hurtigere og ved (civile) domstole i alle medlemsstater? Skal de nationale tilsynsmyndigheder have ringere adgang til domstolsprøvelse end fysiske personer i deres egenskab af private forbrugere? Vil de fleste sager om databeskyttelse ikke ende ved de nationale domstole (og eventuelt ved Domstolen til præjudiciel afgørelse) som sager anlagt direkte af private sagsøgere, hvorved de nationale reguleringsmyndigheder, der er oprettet til dette formål, bliver sprunget helt over, fordi disse nationale reguleringsmyndigheder stadig er i gang med at samarbejde og koordinere deres opfattelser? Er der ikke en fare for, at den privatretlige håndhævelse inden for rammerne af en sådan ordning fuldstændig vil fortrænge den offentligretlige håndhævelse?

128. Under alle omstændigheder har EU-lovgiver foretaget et tydeligt institutionelt og strukturelt valg, og efter min opfattelse er der ingen tvivl om, hvilke formål lovgiver ønskede at forfølge. Under sådanne omstændigheder bør man billedlig talt lade tvivlen komme ordningen til gode, i hvert fald for nuværende. Hvis ordningen imidlertid viser sig at være uhensigtsmæssig, og dette kan godtgøres med henvisning til faktuelle omstændigheder og solide argumenter, kan jeg ikke forestille mig, at Domstolen vil vende det blinde øje til de huller, der måtte vise sig i beskyttelsen af de grundlæggende rettigheder, der er sikret ved chartret, og i den måde, hvorpå de nationale reguleringsmyndigheder faktisk håndhæver disse rettigheder. Om der stadig vil være behov for en fortolkning af, om bestemmelser i den afledte ret er i overensstemmelse med chartret, eller om de relevante bestemmelser eller måske endda afsnit i afledte retsakter er gyldige, er et spørgsmål til behandling i en anden sag.

5.      Foreløbig konklusion

129. Alle de beskrevne fortolkningselementer peger således på et og samme resultat: Den ledende tilsynsmyndighed har generel kompetence i forbindelse med grænseoverskridende behandling. Alle tilsynsmyndigheder (uanset om deres rolle er som den ledende tilsynsmyndighed eller den berørte tilsynsmyndighed) skal især ved grænseoverskridende behandling følge de procedurer og mekanismer, der er fastsat i databeskyttelsesforordningen.

130. Når dette er sagt, følger det da heraf, at en tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, principielt altid er udelukket fra at anlægge sag ved de nationale domstole mod en dataansvarlig eller en databehandler, når behandlingen har en grænseoverskridende karakter?

131. Nej, det gør det ikke.

132. For det første kan tilsynsmyndighederne naturligvis altid anlægge sag ved de nationale domstole, når de handler uden for databeskyttelsesforordningens materielle anvendelsesområde, forudsat at dette er tilladt efter national ret og ikke er udelukket i henhold til EU-retten, f.eks. fordi der ikke er behandlet personoplysninger, eller fordi behandlingen af personoplysninger foretages i sammenhæng med de aktiviteter, der er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2 (68).

133. Selv om behandlingen af personoplysninger kan karakteriseres som grænseoverskridende, beholder lokale tilsynsmyndigheder i de situationer, der er fastsat i databeskyttelsesforordningens artikel 55, stk. 2 (behandling foretaget af offentlige myndigheder, men også enhver behandling foretaget i offentlighedens interesse eller under udøvelse af offentlig myndighed) for det andet den reguleringskompetence, de er tillagt, og som i givet fald naturligvis også omfatter muligheden for at anlægge sag ved en domstol.

134. For det tredje er der tilfælde, hvor ingen tilsynsmyndighed kan handle som den ledende tilsynsmyndighed, selv om der foreligger en grænseoverskridende behandling af personoplysninger, der er omfattet af databeskyttelsesforordningens anvendelsesområde. Eftersom den samarbejds- og sammenhængsmekanisme, der er fastsat i databeskyttelsesforordningen, kun finder anvendelse på dataansvarlige, der er etableret et eller flere steder i Den Europæiske Union, findes der ingen ledende tilsynsmyndighed i forbindelse med grænseoverskridende behandling foretaget af dataansvarlige, der ikke er etableret i Den Europæiske Union. Dette indebærer, at dataansvarlige, som ikke er etableret i Unionen, skal have kontakt med de lokale tilsynsmyndigheder i hver eneste medlemsstat, hvor de er aktive (69).

135. For det fjerde kan en tilsynsmyndighed træffe hasteforanstaltninger, når de relevante betingelser er opfyldt. Der er ydermere situationer, hvor det formodes, at foranstaltningerne er uopsættelige. Dette kan f.eks. være tilfældet, hvis en berørt tilsynsmyndighed potentielt kontinuerligt oplever langsommelighed fra den ledende tilsynsmyndigheds side. Eftersom databeskyttelsesforordningens artikel 66, stk. 1, giver mulighed for helt at se bort fra sammenhængsmekanismen, er det rimeligt at antage, at hele rækken af beføjelser, som en tilsynsmyndighed er tillagt (som under normale omstændigheder ikke skal udøves, fordi de særlige regler om ledende tilsynsmyndigheders kompetence i forbindelse med grænseoverskridende behandling er til hinder herfor), i en sådan ekstraordinær situation igen bliver tilgængelig og midlertidigt kan udøves. Dette omfatter således naturligvis beføjelsen til at indlede retssag i henhold til databeskyttelsesforordningens artikel 58, stk. 5.

136. Endelig og for det femte skal det for fuldstændighedens skyld nævnes, at det ligeledes er muligt, at en tilsynsmyndighed, som har underrettet den ledende tilsynsmyndighed, igen får (eller rettere beholder) beføjelsen til at indlede en sag ved en domstol, hvis den ledende tilsynsmyndighed »beslutter ikke at behandle sagen« i henhold til databeskyttelsesforordningens artikel 56, stk. 5. Umiddelbart kan sidstnævnte bestemmelse meget vel omfatte en egentlig aftale mellem de to tilsynsmyndigheder om, hvem af dem der er bedst i stand til at behandle en sag.

137. Samlet set indeholder databeskyttelsesforordningens bestemmelser ikke en generel hindring for, at andre tilsynsmyndigheder og især berørte tilsynsmyndigheder kan anlægge sag vedrørende mulige overtrædelser af databeskyttelsesreglerne. Tværtimod har man i databeskyttelsesforordningen udtrykkeligt nævnt forskellige situationer, hvor de har beføjelse hertil, eller hvor denne beføjelse følger implicit (70).

138. Det er dog generelt yderst vigtigt, når databeskyttelsesforordningens procedurer og mekanismer (især procedurerne og mekanismerne i forordningens kapitel VI og VII) finder anvendelse, at de loyalt følges af såvel den ledende tilsynsmyndighed som de berørte tilsynsmyndigheder. Databeskyttelsesforordningens regler beskriver meget tydeligt, at ingen af disse myndigheder må handle uden for eller se bort fra denne retlige ramme.

139. Når dette er sagt, tilkommer det imidlertid den forelæggende ret at efterprøve, om databeskyttelsesmyndigheden har fulgt disse procedurer og mekanismer i den foreliggende sag, hvilket gav anledning til en vis drøftelse i retsmødet, men det er stadig noget uklart i lyset af de tidligere processuelle skridt i den foreliggende sag (71).

140. Det første spørgsmål bør derfor besvares med, at databeskyttelsesforordningens bestemmelser giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.

C.      De øvrige præjudicielle spørgsmål

1.      Det andet spørgsmål

141. Med det andet spørgsmål ønsker den forelæggende ret oplyst, om svaret på det første spørgsmål ville være anderledes, hvis den dataansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i den pågældende medlemsstat, men dog et andet etableringssted.

142. I lyset af det foreslåede svar på det første spørgsmål er svaret på det andet spørgsmål ret klart: Svaret er i princippet nej, såfremt »hovedvirksomheden« som omhandlet i databeskyttelsesforordningens artikel 4, stk. 16, virkelig er beliggende i en anden medlemsstat.

143. At en dataansvarlig har et sekundært etableringssted i en medlemsstat, påvirker i princippet ikke den lokale tilsynsmyndigheds beføjelse til at indlede retssager i henhold til databeskyttelsesforordningens artikel 58, stk. 5, vedrørende grænseoverskridende behandling. I forbindelse med grænseoverskridende behandling afhænger omfanget af de beføjelser, en tilsynsmyndighed er tillagt, og den måde, hvorpå disse beføjelser bør udøves, med andre ord generelt ikke af, om den dataansvarlige eller den databehandler, der har sin hovedvirksomhed i en anden medlemsstat, også er etableret i den pågældende myndigheds medlemsstat.

144. I lighed med det allerede anførte (72) er det imidlertid et foreløbigt element i denne konklusion, at en national domstol først skal fastslå, hvilket etableringssted der reelt er hovedvirksomheden med henblik på en given behandlingsaktivitet. Databeskyttelsesforordningens artikel 4, nr. 16), litra a), favner i denne forbindelse en dynamisk opfattelse (73) af, hvad der anses for at være hovedvirksomheden, og denne behøver ikke nødvendigvis at være den samme som en virksomheds faste juridiske struktur.

145. At den dataansvarlige eller databehandleren har et (sekundært) etableringssted på tilsynsmyndighedens område, indebærer endvidere, at denne myndighed er den berørte tilsynsmyndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 22). Den berørte tilsynsmyndighed er tillagt væsentlige beføjelser i forbindelse med de procedurer, der er fastsat i databeskyttelsesforordningens kapitel VII (74).

146. Databeskyttelsesforordningens artikel 56, stk. 2, indeholder desuden en undtagelse til den ledende tilsynsmyndigheds kompetence i forbindelse med grænseoverskridende behandling: »Hver tilsynsmyndighed [er] kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat.« Denne kompetence skal til gengæld udøves i overensstemmelse med den procedure, der er fastsat i samme bestemmelses stk. 3-5 (75).

2.      Det tredje spørgsmål

147. Med det tredje spørgsmål ønsker den forelæggende ret oplyst, om svaret på det første spørgsmål ville være anderledes, hvis den nationale tilsynsmyndighed indleder retssagen mod den dataansvarlige hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat.

148. I lyset af det foreslåede svar på det første spørgsmål, og for så vidt som det tredje spørgsmål reelt ikke er sammenfaldende med det andet spørgsmål, skal det tredje spørgsmål ligeledes besvares benægtende.

149. Såfremt det faktisk er præciseret ud fra sagens oplysninger, at hovedvirksomheden for en given behandlingsaktivitet i henhold til databeskyttelsesforordningens artikel 4, nr. 16), befinder sig i en anden medlemsstat, er den nationale tilsynsmyndighed i den medlemsstat, hvor den dataansvarliges virksomhed er etableret, heller ikke den ledende tilsynsmyndighed, men den kan blive en berørt tilsynsmyndighed. I forbindelse med denne vurdering afhænger tilsynsmyndighedens kompetence til at handle imidlertid ikke af, om retssagen mod den dataansvarlige indledes mod den dataansvarliges hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat (76).

150. For fuldstændighedens skyld kan det tilføjes, at databeskyttelsesforordningens artikel 58, stk. 5, er formuleret bredt og ikke præciserer, hvilke enheder tilsynsmyndighederne skal eller kan gribe ind over for. Dette førte i nogle af parternes indlæg til en interessant diskussion af et spørgsmål, der, selv om det ikke er irrelevant, efter min opfattelse ikke kræver Domstolens besvarelse i den foreliggende sag. Spørgsmålet er som følger: Kan tilsynsmyndighederne alene gribe ind over for den dataansvarliges eller databehandlerens etableringssteder på deres område, såfremt de faktisk har kompetence hertil i henhold til databeskyttelsesreglerne, eller kan de også gribe ind over for etableringssteder i udlandet?

151. På den ene side har den belgiske, den italienske og den polske regering understreget, at databeskyttelsesforordningens artikel 55, stk. 1, begrænser den enkelte tilsynsmyndigheds territoriale kompetence til dens område. De udleder heraf, at tilsynsmyndighederne kun kan gribe ind over for lokale etableringssteder.

152. Efter min opfattelse er ordlyden alligevel ikke helt så tydelig: Bestemmelsen omhandler udøvelsen af de beføjelser, myndigheden er tillagt i forordningen »på sin egen medlemsstats område«. Jeg læser ikke denne bestemmelse således, at den nødvendigvis udelukker, at der gribes ind over for et etableringssted i en anden medlemsstat. Det territoriale element i databeskyttelsesforordningens artikel 55, stk. 1, vedrører, når der henses til databeskyttelsesforordningens samlede anvendelsesområde, således som dette fremgår af denne forordnings artikel 1, stk. 1, og artikel 3, der giver en tilsynsmyndighed kompetence i en given sag, virkningerne af den databehandling, der foregår på en medlemsstats område. Formålet med dette element er ikke at begrænse søgsmål mod dataansvarlige eller databehandlere, der er hjemmehørende uden for de nationale grænser.

153. Databeskyttelsesmyndigheden har på den anden side foreslået, at hver myndighed har beføjelse til at gribe ind over for alle overtrædelser af databeskyttelsesforordningen på dens område, uanset om den dataansvarlige eller databehandleren har et etableringssted på dens område. Dette indebærer, at en myndighed også kan anlægge sag mod etableringssteder i udlandet. I den forbindelse har databeskyttelsesmyndigheden henvist til Domstolens dom i sagen Wirtschaftsakademie Schleswig-Holstein (77). I denne afgørelse fastslog Domstolen, at artikel 4 og 28 i direktiv 95/46 gav en medlemsstats tilsynsmyndighed mulighed for at udøve beføjelsen til at indbringe et selskabs virksomhed eller organer, der er beliggende på den pågældende medlemsstats område, for retsinstanserne. Dette var tilfældet, selv om denne virksomhed eller dette organ udelukkende havde til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, mens eneansvaret for indsamling og behandling af personoplysninger for hele EU’s område tilkom en virksomhed eller et organ, som var beliggende i en anden medlemsstat.

154. Databeskyttelsesmyndigheden har med rette argumenteret for, at for så vidt som databeskyttelsesforordningen indeholder bestemmelser, der på dette punkt svarer til bestemmelserne i direktiv 95/46 (78), skal de principper, som Domstolen opstillede i dommen i sagen Wirtschaftsakademie Schleswig-Holstein, finde tilsvarende anvendelse på databeskyttelsesforordningen. Denne dom forklarede imidlertid kun, hvornår myndigheden kan retsforfølge et lokalt etableringssted, selv om (hovedparten af) behandlingen foretages af et etableringssted, der er beliggende i et andet område af Den Europæiske Union. Denne dom hverken bekræftede eller udelukkede, i hvert fald ikke udtrykkeligt, at tilsynsmyndigheden også kunne gribe ind over for det sidstnævnte etableringssted.

155. Alligevel må den nye »one-stop-shop«-mekanisme efter min opfattelse nødvendigvis indebære, at en tilsynsmyndighed, når der skabes et centralt sted for håndhævelse, også kan gribe ind over for etableringssteder i udlandet. Jeg er ikke sikker på, at det nye system kan fungere korrekt, hvis det udelukker myndighederne og navnlig den ledende tilsynsmyndighed fra at gribe ind over for etableringssteder, der er beliggende et i et andet område (79).

3.      Det fjerde spørgsmål

156. Med det fjerde spørgsmål ønsker den forelæggende ret oplyst, om svaret på det første spørgsmål ville være anderledes, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen trådte i kraft.

157. Det skal indledningsvis nævnes, at databeskyttelsesforordningen ikke indeholder overgangsbestemmelser eller andre regler for, hvilken status retssager, der verserede ved ikrafttrædelsen af den nye ramme, skal have.

158. I lyset heraf bør svaret på dette spørgsmål efter min opfattelse være »det kommer an på«.

159. På den ene side mener jeg, at sager om overtrædelse af databeskyttelsesreglerne begået af dataansvarlige eller databehandlere før databeskyttelsesforordningens ikrafttrædelse kan fortsætte. Jeg ser ingen gyldig grund til at tvinge myndighederne til at afslutte sager om håndhævelse af afgørelser, der vedrører tidligere adfærd, som (angiveligt) var ulovlig på det tidspunkt, hvor adfærden blev udøvet, og som de (på daværende tidspunkt) havde kompetence til at gribe ind over for. En anden løsning ville medføre en slags amnesti for visse overtrædelser af databeskyttelseslovgivningen.

160. På den anden side foreligger der en anden situation ved søgsmål, der er anlagt vedrørende overtrædelser, som endnu ikke har fået virkninger, idet disse først indtræder efter databeskyttelsesforordningens ikrafttrædelse (80). Som i enhver anden situation med nye regler, der finder anvendelse på situationer opstået efter ikrafttrædelsen af en ny retlig ordning, finder de nye materielle regler i denne forbindelse kun anvendelse på forhold, der er opstået efter ikrafttrædelsen af den nye retsakt (81).

161. Det tilkommer den forelæggende ret at fastslå, hvilken af de to tilfælde der faktisk svarer til den aktuelle situation i hovedsagen (82). Hvad angår det første tilfælde foreslår jeg ud fra et EU-retligt synspunkt, at behandlingen af den verserende sag skal fortsætte, såfremt sagen afgrænses til en bedømmelse af eventuelle tidligere overtrædelser. Hvad angår det andet tilfælde bør behandlingen af den verserende sag ved de nationale domstole bringes til ophør. Der er med den nye ramme nemlig indført en anden ordning for kompetence og beføjelser, således at en berørt tilsynsmyndighed ikke kan gribe ind over for overtrædelser begået i forbindelse med grænseoverskridende behandling uden for de særlige situationer og i henhold til de procedurer og mekanismer, der er fastsat herfor.

162. Den modsatte løsning ville de facto indebære en forlængelse af den ordning, der blev indført ved direktiv 95/46, selv om denne ordning udtrykkeligt er ophævet i både EU-retten og national ret og erstattet af en ny ordning. Hvis databeskyttelsesmyndigheden faktisk fik nedlagt et forbud mod, at Facebook fremover (og i øvrigt hvor længe?) kan følge den i hovedsagen omtvistede fremgangsmåde, ville dette da ikke påvirke den kompetence, som databeskyttelsesforordningen siden den 25. maj 2018 har tillagt den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder i forbindelse med (samme) adfærd, eventuelt ledsaget af modstridende afgørelser (eller retsafgørelser) fra forskellige medlemsstater?

4.      Det femte spørgsmål

163. Med det femte spørgsmål, som er stillet, såfremt første spørgsmål besvares bekræftende, ønsker den forelæggende ret oplyst, om databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod fysiske personer, uanset at denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.

164. Det erindres, at ordlyden af artikel 58, stk. 5, er som følger: »Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.«

165. Facebook samt den tjekkiske og den portugisiske regering har fremhævet, at denne bestemmelse klart pålægger medlemsstaterne at handle: At indføre bestemmelser, der sætter myndighederne i stand til at anlægge sag. For at beføjelsen til at anlægge sag kan anvendes fuldt ud, kan det være nødvendigt, at der indføres visse nationale regler, der bl.a. fastlægger, hvilke domstole der har kompetence, betingelserne for at anlægge sag og de procedurer, der skal følges.

166. I lyset af mit forslag til besvarelse af det første spørgsmål er det slet ikke nødvendigt at besvare det femte spørgsmål. For fuldstændighedens skyld ser jeg imidlertid ikke noget problem i at udtrykke min enighed med databeskyttelsesmyndigheden i, at det normative indhold i denne specifikke EU-retlige bestemmelse er ganske utvetydig og selveffektuerende. Man skal i den forbindelse huske på, at en EU-retlig bestemmelse generelt har direkte virkning i alle de tilfælde, hvor den ud fra indholdet er tilstrækkelig klar, præcis og ubetinget til at kunne påberåbes over for en modstridende national foranstaltning, eller i det omfang bestemmelsen definerer de rettigheder, som fysiske personer kan gøre gældende over for staten (83).

167. Hvis der ses helt bort fra, at databeskyttelsesforordningens artikel 58, stk. 5, indgår i en forordning (en retsakt, som i henhold til artikel 288 TEUF er »bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat« (84)), er det efter min opfattelse muligt at udlede en specifik og direkte anvendelig regel af denne bestemmelse. Reglen er ganske simpel: Tilsynsmyndighederne skal have søgsmålskompetence ved de nationale domstole, og de skal tillægges beføjelse til at indlede retssager i den nationale lovgivning. Sagen, der er anlagt ved en national domstol, kan ikke afvises med den begrundelse, at en part ikke er et selvstændigt retssubjekt.

168. Selv om jeg er enig med Facebook samt den tjekkiske og den portugisiske regering i, at medlemsstaterne kan fastsætte særlige regler, betingelser eller retslig kompetence i forbindelse med sager anlagt af tilsynsmyndighederne, er sådanne regler på ingen måde nødvendige for, at reglen i databeskyttelsesforordningens artikel 58, stk. 5, der har direkte virkning, kan anvendes. Hvis de nationale lovgivere ikke har vedtaget ad hoc-regler, finder standard-reglerne i den relevante nationale retsplejelovgivning (uanset om det er lovgivning om forvaltningsretspleje eller endda standardbestemmelser om civil retspleje) naturligvis anvendelse på eventuelle retssager, der indledes af tilsynsmyndighederne. I mangel af specifikke gennemførelsesbestemmelser om retslig kompetence er det f.eks. således sikkert at antage, at sagen efter den standardregel, der formodentlig er indeholdt i enhver (civil) retsplejelov, skal føres ved domstolen på det sted, hvor sagsøgte har hjemting, medmindre andet fremgår.

5.      Det sjette spørgsmål

169. Med det sjette og sidste spørgsmål ønsker den forelæggende ret oplyst, om udfaldet af en retssag i den situation, hvor den nationale tilsynsmyndighed har beføjelse til at handle, kan være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i databeskyttelsesforordningens artikel 56 og 60.

170. I lyset af det foreslåede svar på det første spørgsmål er det ikke nødvendigt at besvare dette spørgsmål.

171. Den problematik, der rejses med dette spørgsmål, viser dog igen, hvorfor det første spørgsmål bør besvares som foreslået ovenfor. Hvis det obligatoriske i databeskyttelsesforordningens samarbejds- og sammenhængsmekanismerne blev fjernet for derved at gøre »one-stop-shop«-mekanismen »frivillig« eller i virkeligheden nærmere ikke-eksisterende, ville det have alvorlige konsekvenser for sammenhængen i hele ordningen. Databeskyttelsesforordningens nuværende kompetenceregler ville i alt væsentligt blive erstattet af et mellem tilsynsmyndighederne parallelt »kapløb om at få afsagt den første dom«. Uanset hvilken tilsynsmyndighed der »først når i mål« og opnår afsigelsen af en endelig dom inden for sit jurisdiktionsområde, vil den pågældende tilsynsmyndighed i sidste ende reelt blive den ledende tilsynsmyndighed for resten af Den Europæiske Union, således som forudsat i sjette spørgsmål.

V.      Forslag til afgørelse

172. Jeg foreslår Domstolen at besvare de af Hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien) forelagte præjudicielle spørgsmål således:

»–      Bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.

–      Databeskyttelsesforordningen er til hinder for, at en tilsynsmyndighed fortsætter behandlingen af en retssag, der blev indledt før forordningens ikrafttrædelse, men som vedrører adfærd, der ligger efter denne dato.

–      Databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, for så vidt som en national tilsynsmyndighed kan støtte ret på denne bestemmelse for at indlede eller fortsætte behandlingen af retssager ved de nationale domstole, selv om denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.«

1 –      Originalsprog: engelsk.

2 –      Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

3 –      EFT 1995, L 281, s. 31.

4 –      Jf. de ovenfor i punkt 23 i dette forslag til afgørelse anførte grunde.

5 –      Hertil har Domstolen gentagne gange fastslået, at begrebet »dataansvarlig« i henhold til direktiv 95/46 skal fortolkes bredt; jf. f.eks. den nyere dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 65, 66 og 70), og af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 66). Jeg kan ikke se nogen grund til, hvorfor dette ikke ligeledes skulle gælde i forbindelse med databeskyttelsesforordningen.

6 –      Jf. f.eks. dom af 25.7.2018, Confédération paysanne m.fl. (C-528/16, EU:C:2018:583, præmis 72 og 73 og den deri nævnte retspraksis), og af 1.10.2019, Blaise m.fl. (C-616/17, EU:C:2019:800, præmis 35).

7 –      Jeg forklarede f.eks. i mit forslag til afgørelse i Fashion ID-sagen, hvorfor både de dagældende regler i direktiv 95/46 og reglerne i det såkaldte e-databeskyttelsesdirektiv (Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37)) potentielt kunne finde anvendelse i en sag om anbringelse af cookies (C-40/17, EU:C:2018:1039, punkt 111-115). For en mere generel beskrivelse, jf. Det Europæiske Databeskyttelsesråd, udtalelse nr. 5/2019 af 12.3.2019 om samspillet mellem e-databeskyttelsesdirektivet og GDPR, navnlig med hensyn til databeskyttelsesmyndighedernes kompetence, opgaver og beføjelser. Jf. også artikel 29-Gruppen vedrørende Databeskyttelse, dok. nr. 02/2013 om vejledning til indhentelse af samtykke til indsamling af cookies, 1676/13/EN WP 208 af 2.10.2013.

8 –      Min fremhævelse.

9 –      Min fremhævelse.

10 –      Min fremhævelse.

11 –      I den juridiske litteratur, jf. A. Bensoussan (red.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2. udg., Bruylant, Bruxelles, 2017, s. 363.

12 –      Jf. ligeledes H. Hijmans, »Comment to Article 56 of the GDPR«, i C. Kuner, L. Bygrave og C. Docksey (red.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 921.

13 –      Analogt med den almindelige forvaltningsret (eller retsplejelovgivning) kan et organ have (generel) beføjelse til at handle på bestemte måder, men organet har ikke nødvendigvis kompetence (på det materielle, personelle, tidsmæssige, stedlige anvendelsesområde osv.) til at udøve denne beføjelse og træffe afgørelse i en konkret sag. At en straffedomstol f.eks. har beføjelse til at afsige dom i en straffesag indebærer således ikke nødvendigvis, at den også har kompetence til at afsige dom i forbindelse med en bestemt forbrydelse begået af en bestemt person (her kan en anden ret have kompetencen).

14 –      Databeskyttelsesrådets udtalelse nr. 8/2019 af 9.7.2019 om en tilsynsmyndigheds kompetence i tilfælde af en ændring af omstændighederne vedrørende hovedvirksomheden eller den eneste etablering, punkt 19 og 20.

15 –      Den relevante del af denne bestemmelse havde følgende ordlyd: »Hver tilsynsmyndighed skal bl.a. kunne [...] indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.«

16 –      Jf. Europa-Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) af 15.5.2003, KOM(2003) 265 endelig, s. 12 og 13, samt det tilhørende bilag »Analysis and impact study on the implementation of Directive EC 95/46 in Member States«, s. 40. Jf. også Den Europæiske Unions Agentur for Grundlæggende Rettigheder, »Adgang til retsmidler i forbindelse med databeskyttelse i EU’s medlemsstater«, rapport af 2012, især s. 20-22.

17 –      Jf. punkt 51, 57 og 58 ovenfor i dette forslag til afgørelse.

18 –      Dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 63), og af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 109).

19 –      I visse tilfælde er den berørte tilsynsmyndighed berettiget til (og bør derfor have mulighed for) at forelægge et udkast til afgørelse for den ledende tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 56, stk. 2-4.

20 –      Jf. i denne retning 125. betragtning til databeskyttelsesforordningen.

21 –      Dom af 16.7.2020 (C-311/18, EU:C:2020:559, præmis 120) (min fremhævelse). For at gøre det tydeligt, tilkommer det tilsvarende den kompetente tilsynsmyndighed at reagere på overtrædelser af databeskyttelsesforordningen og til dette formål at vælge de bedst egnede midler, jf. generaladvokat Saugmandsgaard Øes forslag til afgørelse Facebook Ireland og Schrems (C-311/18, EU:C:2019:1145, punkt 147 og 148). Disse udtalelser skal ses i sammenhæng med dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 65), hvori Domstolen anførte, at (en) national tilsynsmyndighed i henhold til direktiv 95/46 skal kunne anlægge sag.

22 –      Således som det blev formuleret i den berømte replik i »Den gode, den onde og den grusomme« (en film fra 1966 af instruktøren Sergio Leone med Clint Eastwood, Lee Van Cleef og Eli Wallach i hovedrollerne fra produktionsselskabet Produzioni Europee Associate og United Artists).

23 –      Databeskyttelsesforordningens artikel 68.

24 –      Jf. især databeskyttelsesforordningens artikel 70, stk. 1, litra a).

25 –      Jf. begrundelsen til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse), COM(2012) 11 final. Jf. ligeledes 10., 13. og 123. betragtning til databeskyttelsesforordningen.

26 –      Jf. generelt om dette spørgsmål A. Giurgiu og T. Larsen, »Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More »European« DPAs as Guardians of Consistency?«, European Data Protection Law Review, 2016, s. 342-352, på s. 349, samt P. Voigt og A. von dem Bussche, The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, s. 190-192.

27 –      Dom af 1.10.2015 (C-230/14, EU:C:2015:639, præmis 42-60).

28 –      Dom af 5.6.2018 (C-210/16, EU:C:2018:388, præmis 65-74).

29 –      Jf. f.eks. A. Miglio, »The Competence of Supervisory Authorities and the One-stop-shop Mechanism« i EU Law Live – Weekend edition, nr. 28, 2020, s. 10-14, på s. 11.

30 –      Jf. generaladvokat Bots forslag til afgørelse Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, punkt 103).

31 –      Dom af 24.9.2019 (C-507/17, EU:C:2019:772, præmis 68).

32 –      C-311/18, EU:C:2019:1145, punkt 155.

33 –      Jf. 97. og 98. betragtning til Kommissionens forslag (jf. fodnote 30 ovenfor).

34 –      Jf. Rådets dokument 15656/1/14 REV 1 af 28.11.2014 og 16526/14 af 4.12.2014 og 5.12.2014, s. 2, 8 og 9.

35 –      Ibidem, s. 1.

36 –      Jf. Rådets dok. 5419/1/16 REV 1 of 8.4.2016, s. 203-205.

37 –      Jf. punkt 45 ovenfor i dette forslag til afgørelse.

38 –      Rådets dok. 15656/1/14 REV 1 af 28.11.2014, s. 2.

39 –      Jf. dok. A7-0402/2013 af 2[1].11.20[13], hvori »one-stop-shop«-mekanismen beskrives som »et afgørende skridt i retning af en konsekvent anvendelse af databeskyttelseslovgivningen i hele EU«.

40 –      Dok. EP-PE_TC1-COD(2012)0011 af 12.3.2014 (jf. især ændringerne 148, 149, 158, 159 og 167).

41 –      Jeg antager i lighed hermed blot, at de påberåbte bestemmelser og rettigheder i chartret er dem, der vedrører de registrerede, som en tilsynsmyndighed har til opgave beskytte, og ikke at det er rettigheder, som tilkommer en tilsynsmyndighed. Alene den tanke, at administrative myndigheder, dvs. organer under staten, er tillagt grundlæggende (menneske)rettigheder, som de kan støtte ret på over for staten (eller snarere over for hinanden, eller ved en direkte horisontal virkning endda over for fysiske personer), er temmelig ejendommelig. Efter min opfattelse bør det være et klart benægtende svar, men jeg medgiver, at der i medlemsstaterne er forskellige tilgange. Hvorledes det end forholder sig, er det helt uproblematisk i forbindelse med den foreliggende sag ikke at behandle dette spørgsmål yderligere.

42 –      Jf. i denne retning dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 39).

43 –      Jf. syvende og [tiende] betragtning til databeskyttelsesforordningen (min fremhævelse).

44 –      Jf. i denne retning 10., 11. og 13. betragtning til databeskyttelsesforordningen.

45 –      Min fremhævelse.

46 –      Jf. i denne retning dom af 27.9.2017, Puškár (C-73/16, EU:C:2017:725, præmis 54-76 og den deri nævnte retspraksis).

47 –      Jf. databeskyttelsesforordningens artikel 79 og 145. betragtning hertil.

48 –      Når der ligeledes tages hensyn til, at denne løsning i praksis ligner den løsning, der normalt ville være et (meget beskyttende) værneting (hjemting) ved forbrugeraftaler i henhold til Bruxellesforordningen; jf. generelt dom af 25.1.2018, Schrems (C-498/16, EU:C:2018:37).

49 –      Jf. 141. og 143. betragtning til databeskyttelsesforordningen og dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 110).

50 –      Jf. 143. betragtning til og artikel 78 i databeskyttelsesforordningen.

51 –      Samme tilgang findes i en anden (decentraliseret) reguleringsmæssig sammenhæng; jf. mit forslag til afgørelse Astellas Pharma (C-557/16, EU:C:2017:957).

52 –      Angående sidstnævnte forhold anfører artikel 78, stk. 4, at »[h]vis sag anlægges mod en afgørelse fra en tilsynsmyndighed, der er truffet efter en udtalelse eller en afgørelse fra Databeskyttelsesrådet i forbindelse med sammenhængsmekanismen, fremsender tilsynsmyndigheden denne udtalelse eller afgørelse til domstolen«. Dette er i praksis sandsynligvis den eneste mulighed for domstolsprøvelse af Databeskyttelsesrådets afgørelser, eftersom det i 143. betragtning til databeskyttelsesforordningen som et forvarsel anføres, at »enhver fysisk eller juridisk person« (dvs. også registrerede) har mulighed for, når betingelserne i artikel 263 TEUF er opfyldt, at anfægte en juridisk bindende afgørelse fra Databeskyttelsesrådet ved Unionens retsinstanser. I lyset af Domstolens restriktive fortolkning af betingelserne for fysiske personers søgsmålskompetence, der er fastsat i artikel 263, stk. 4, TEUF, er det imidlertid ikke let at finde situationer, hvor fysiske personer kan anses for at være direkte berørt af Databeskyttelsesrådets afgørelser, eftersom de sidstnævnte afgørelser under alle omstændigheder skal »anvendes« på en bestemt registrerets forhold i en efterfølgende afgørelse truffet af den ledende tilsynsmyndighed eller en berørt tilsynsmyndighed. Ligesom på mange andre områder af EU-retten (jf. for en kritik af denne ordning mit forslag til afgørelse Région de Bruxelles-Capitale mod Kommissionen, C-352/19 P, EU:C:2020:588, punkt 137-147) er den eneste måde, hvorpå man i en sådan situation i sidste ende kan få prøvet en afgørelse fra Databeskyttelsesrådet, at indgive en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, dog kun i de tilfælde, hvor en mere interesseret national domstol er villig til at »løfte det slør«, som den nationale tilsynsmyndighed har lagt over denne domstols prøvelse ved at »fremsende« Databeskyttelsesrådets udtalelse i henhold til databeskyttelsesforordningens artikel 78, stk. 4.

53 –      Jf. især databeskyttelsesforordningens artikel 60, stk. 1.

54 –      H. Hijmans, »Comment to Article 56 of the GDPR«, i C. Kuner, L. Bygrave og C. Docksey (red.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 918.

55 –      P. Hustinx, »EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation«, i M. Cremona (red.), New Technologies and EU Law, 2017, Oxford University Press, Oxford, s. 123.

56 –      Om dette udtryk, jf. Rådet, »Orienterende debat om mekanismen med et centralt kontaktpunkt«, 10139/14 af 26.5.2014, s. 4.

57 –      Jf. f.eks. dom af 9.3.2010, Kommissionen mod Tyskland (C-518/07, EU:C:2010:125, præmis 24). Et senere eksempel er dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 42).

58 –      Jf. punkt 4 ovenfor i dette forslag til afgørelse.

59 –      Min fremhævelse.

60 –      Jeg vil i denne forbindelse blot tilføje, at de tilsynsmyndigheder, der modtager en klage, uanset om myndigheden er en ledende tilsynsmyndighed eller en berørt tilsynsmyndighed, ikke alene er forpligtede til at undersøge klagen med den fornødne omhu (jf. præmis 69 ovenfor i dette forslag til afgørelse), men de er også forpligtede til at »gøre dette med den fornødne omhu, som kræves af dens opgave bestående i at sikre den fulde overholdelse af databeskyttelsesforordningen« (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 112) (min fremhævelse).

61 –      Min fremhævelse.

62 –      Min fremhævelse.

63 –      Jf. L. Tosoni, »Comment to Article 60 of the GDPR«, i C. Kuner, L. Bygrave og C. Docksey (red.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 969.

64 –      Min fremhævelse.

65 –      Som præciseret i 138. betragtning til databeskyttelsesforordningen, afhænger det af den pågældende foranstaltning. Realistisk set ville det dog være temmelig overraskende, hvis en ledende tilsynsmyndighed valgte at se bort fra en afgørelse truffet af Databeskyttelsesrådet, selv om afgørelser formelt ikke bindende i henhold til databeskyttelsesforordningen (navnlig fordi noget, der ikke er bindende i første omgang, meget vel kan blive det i anden omgang).

66 –      Jf. ligeledes for en mere detaljeret beskrivelse P. Van Eecke, A. Šimkus, »Comment to Article 64 of the GDPR«, i C. Kuner, L. Bygrave og C. Docksey (red.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 1011.

67 –      Jf. punkt 106 og 107 ovenfor i dette forslag til afgørelse.

68 –      Jf. punkt 35-38 ovenfor i dette forslag til afgørelse.

69 –      Jf. også Artikel 29-gruppen vedrørende Databeskyttelse, Retningslinjer for udpegelse af en ledende tilsynsmyndighed for en dataansvarlig eller databehandler, WP 244 rev.01 af 5.4.2017, s. 10.

70 –      Jeg hævder i øvrigt ikke, at de ovenfor nævnte eksempler udgør en udtømmende liste. Kan der ikke forekomme en anden situation, hvor det i den endelige afgørelse, der træffes i en given sag vedrørende grænseoverskridende behandling– uanset om det er efter aftale mellem den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder eller efter bilæggelse af en tvist ved Databeskyttelsesrådet – er overladt til en eller flere berørte tilsynsmyndigheder at udføre visse håndhævelseshandlinger på deres respektive staters områder, herunder f.eks. at indlede retssag?

71 –      Som anført ovenfor i punkt 31-38 i dette forslag til afgørelse.

72 –      Jf. punkt 32 og 33 i dette forslag til afgørelse.

73 –      Som det bør være, er det generelt tilfældet for enhver form for behandling, samt definitionen af den (fælles) dataansvarlige herfor. Effektiv kontrol med formålet for og midlerne til behandling skal vurderes i forbindelse med en given behandlingsaktivitet og ikke ud fra abstrakte, statiske begreber, når der er tale om en ikke nærmere defineret »behandling«; jf. dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 71-74).

74 –      Jf. punkt 111 og 112 ovenfor i dette forslag til afgørelse.

75 –      Jf. punkt 45 og 84 ovenfor i dette forslag til afgørelse.

76 –      Herved vendes der indirekte tilbage til det oprindelige spørgsmål om, hvad det præcist er, at et sådant etableringssted retsforfølges for i en medlemsstat efter ikrafttrædelsen af databeskyttelsesforordningen, som allerede er behandlet i punkt 32-34 i dette forslag til afgørelse.

77 –      Dom af 5.6.2018 (C-210/16, EU:C:2018:388).

78 –      Sammenlign navnlig den nye artikel 3, stk. 1, med den tidligere artikel 4, stk. 1, litra a), og den nye artikel 58, stk. 6, med den tidligere artikel 28, stk. 3, tredje led.

79 –      Som anført ovenfor i fodnote 82, er det ligeledes tænkeligt, at en koordineret beslutningsproces kan føre til, at der træffes koordinerede håndhævelsesforanstaltninger.

80 –      Jf. analogt dom af 14.2.2012, Toshiba Corporation m.fl. (C-17/10, EU:C:2012:72, især præmis 60).

81 –      Jf. mit forslag til afgørelse Nemec (C-256/15, EU:C:2016:619, punkt 27-44) for en uddybende behandling med eksempler.

82 –      Jf. ligeledes punkt 34 ovenfor i dette forslag til afgørelse.

83 –      Jf. for en nærmere redegørelse mit forslag til afgørelse Klohn (C-167/17, EU:C:2018:387, punkt 36-46).

84 –      Selv om den direkte virkning ganske vist ikke er direkte anvendelighed, og de samme betingelser for direkte virkning finder anvendelse på bestemmelser i forordninger, der foreskriver eller nødvendiggør deres gennemførelse, jf. f.eks. dom af 11.1.2001, Monte Arcosu (C-403/98, EU:C:2001:6, præmis 26-28), af 28.10.2010, SGS Belgium m.fl. (C-367/09, EU:C:2010:648, præmis 33 ff.), og af 14.4.2011, Vlaamse Dierenartsenvereniging og Janssens (C-42/10, C-45/10 og C-57/10, EU:C:2011:253, præmis 48-50).