Sag C-33/22
Österreichische Datenschutzbehörde
mod
WK
(anmodning om præjudiciel afgørelse indgivet af Verwaltungsgerichtshof (Østrig))
Domstolens dom (Store Afdeling) af 16. januar 2024
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – artikel 16 TEUF – forordning (EU) 2016/679 – artikel 2, stk. 2, litra a) – anvendelsesområde – udelukkelse – aktiviteter, som falder uden for EU-rettens anvendelsesområde – artikel 4, stk. 2, TEU – aktiviteter vedrørende statens sikkerhed – undersøgelseskommission, der er nedsat af en medlemsstats parlament – artikel 23, stk. 1, litra a) og h), samt artikel 51 og 55 i forordning (EU) 2016/679 – kompetencen hos tilsynsmyndigheden for databeskyttelse – artikel 77 – ret til at indgive klage til en tilsynsmyndighed – direkte virkning«
1. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – anvendelsesområde – undtagelser – behandling af oplysninger i forbindelse med aktiviteter, der falder uden for EU-rettens anvendelsesområde – aktivitet, der udøves af en undersøgelseskommission nedsat af en medlemsstats parlament i forbindelse med dette parlaments beføjelse til at kontrollere den udøvende magt – ikke omfattet – anvendelse af forordningen
[Art. 16, stk. 2, første punktum, TEUF; Europa-Parlamentets og Rådets forordning 2016/679, 16. betragtning og art. 2, stk. 2, litra a)]
(jf. præmis 37-43 og domskonkl. 1)
2. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – anvendelsesområde – undtagelser – behandling af oplysninger i forbindelse med aktiviteter, der falder uden for EU-rettens anvendelsesområde – aktivitet, som tilsigter at beskytte statens sikkerhed, eller som henhører under denne kategori – begreb – aktivitet, der udøves af en undersøgelseskommission nedsat af en medlemsstats parlament i forbindelse med dette parlaments beføjelse til at kontrollere den udøvende magt – undersøgelse af, om en politimæssig efterretningstjeneste eventuelt er blevet udsat for politisk påvirkning – ikke omfattet
[Art. 4, stk. 2, TEU; Europa-Parlamentets og Rådets forordning 2016/679, 16. betragtning samt art. 2, stk. 1, art. 2, stk. 2, litra a), og art. 23]
(jf. præmis 46 og 50-57 samt domskonkl. 2)
3. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – nationale tilsynsmyndigheder – en medlemsstats ret til kun at oprette en enkelt tilsynsmyndighed – kompetence, som tilsynsmyndigheden er tillagt ved forordningen – begrænsning af den kompetence, der følger af nationale forfatningsbestemmelser – ikke tilladt – EU-rettens forrang og direkte virkning
(Europa-Parlamentets og Rådets forordning 2016/679, 117. betragtning samt art. 51, stk. 1, art. 55, stk. 1 og 3, og art. 77, stk. 1)
(jf. præmis 62-72 og domskonkl. 3)
Resumé
I forbindelse med en præjudiciel forelæggelse fra Verwaltungsgerichtshof (forvaltningsdomstol, Østrig) fastslog Domstolen (Store Afdeling), at aktiviteter, der udøves af en parlamentarisk undersøgelseskommission, ikke falder uden for anvendelsesområdet for databeskyttelsesforordningen (1).
Med henblik på at undersøge, om Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (forbundskontor til beskyttelse af forfatningen og bekæmpelse af terrorisme, Østrig) (2) eventuelt var blevet udsat for politisk påvirkning, nedsatte Nationalrat (nationalrådet, Østrig) en undersøgelseskommission (herefter »undersøgelseskommissionen vedrørende forbundskontoret«). Denne kommission hørte WK som vidne. Til trods for WK’s anmodning om anonymitet blev referatet af denne høring, hvori WK’s fulde for- og efternavn var nævnt, offentliggjort på Parlament Österreichs (det østrigske parlament) websted. WK indgav en klage til Österreichische Datenschutzbehörde (databeskyttelsesmyndighed, Østrig) (herefter »Datenschutzbehörde«), idet han gjorde gældende, at en sådan videregivelse af hans identitet var i strid med databeskyttelsesforordningen og østrigsk lovgivning (3). Ved afgørelse af 18. september 2019 fandt Datenschutzbehörde, at den ikke havde kompetence til at træffe afgørelse om klagen, idet den anførte, at princippet om magtadskillelse udelukkede, at denne myndighed som et organ under den udøvende magt kunne kontrollere undersøgelseskommissionen vedrørende forbundskontoret, der henhører under den lovgivende magt.
Efter at Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Østrig) havde taget stilling til sagen, idet den tog WK’s søgsmål til følge og annullerede Datenschutzbehördes afgørelse, iværksatte WK revisionsanke ved forvaltningsdomstolen til prøvelse af afgørelsen fra forbundsdomstolen i forvaltningsretlige sager.
I denne sammenhæng forelagde den forelæggende ret Domstolen spørgsmålet om, hvorvidt de aktiviteter, der udøves af en undersøgelseskommission, som er nedsat af en medlemsstats parlament, er omfattet af databeskyttelsesforordningens anvendelsesområde, og om denne forordning finder anvendelse, når disse aktiviteter vedrører beskyttelsen af statens sikkerhed. Den forelæggende ret anmodede endvidere Domstolen om at udtale sig om, hvorvidt databeskyttelsesforordningen giver en national tilsynsmyndighed som Datenschutzbehörde kompetence til at behandle klager over den behandling af personoplysninger, som en undersøgelseskommission foretager i forbindelse med sine aktiviteter.
Domstolens bemærkninger
For det første fremhævede Domstolen, at databeskyttelsesforordningens artikel 2, stk. 2, litra a), som fastsætter, at denne forordning ikke finder anvendelse på behandling af personoplysninger i forbindelse med en aktivitet, der ikke er omfattet af EU-rettens anvendelsesområde, udelukkende har til formål at udelukke behandling, der foretages af statslige myndigheder under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller som henhører under samme kategori, fra dens anvendelsesområde. Den omstændighed alene, at en aktivitet er statens eller en offentlig myndigheds, er således ikke tilstrækkelig til automatisk at udelukke, at databeskyttelsesforordningen kan finde anvendelse på en sådan aktivitet (4).
Denne fortolkning, der følger af den manglende sondring på grundlag af identiteten af den, der har foretaget den pågældende behandling, bekræftes af databeskyttelsesforordningens artikel 4, nr. 7) (5).
Domstolen præciserede, at den omstændighed, at undersøgelseskommissionen vedrørende forbundskontoret havde parlamentarisk karakter, ikke indebar, at de aktiviteter, som denne undersøgelseskommission udførte, var udelukket fra databeskyttelsesforordningens anvendelsesområde. Den undtagelse, der er fastsat i denne forordnings artikel 2, stk. 2, litra a), henviser nemlig kun til kategorier af aktiviteter, der som følge af deres art ikke er omfattet af EU-rettens anvendelsesområde, og ikke til kategorier af personer. Den omstændighed, at behandlingen af personoplysninger foretages af en undersøgelseskommission, der er nedsat af en medlemsstats parlament under udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, gør det derfor ikke i sig selv muligt at godtgøre, at denne behandling foretages i forbindelse med en aktivitet, der ikke er omfattet af EU-rettens anvendelsesområde.
For det andet bemærkede Domstolen, at selv om det tilkommer medlemsstaterne at fastsætte deres væsentlige sikkerhedsinteresser og at træffe de nødvendige foranstaltninger til at beskytte deres sikkerhed (6), kan alene den omstændighed, at en national foranstaltning er blevet truffet med henblik på at beskytte den nationale sikkerhed, ikke medføre, at EU-retten ikke finder anvendelse, og fritage medlemsstaterne fra at sikre den nødvendige overholdelse af denne ret. Den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra a), henviser imidlertid kun til kategorier af aktiviteter, der som følge af deres art ikke er omfattet af EU-rettens anvendelsesområde. I denne henseende er den omstændighed, at den dataansvarlige er en offentlig myndighed, hvis hovedaktivitet er at varetage statens sikkerhed, ikke i sig selv tilstrækkelig til at udelukke den behandling af personoplysninger, som denne myndighed foretager i forbindelse med andre aktiviteter, fra databeskyttelsesforordningens anvendelsesområde.
I det foreliggende tilfælde syntes den politiske kontrol, som undersøgelseskommissionen vedrørende forbundskontoret udførte, ikke som sådan at udgøre en aktivitet, der har til formål at beskytte statens sikkerhed, eller som henhører under samme kategori. Med forbehold for den forelæggende rets efterprøvelse faldt denne aktivitet således ikke uden for databeskyttelsesforordningens anvendelsesområde.
Når dette er sagt, kan en parlamentarisk undersøgelseskommission få adgang til personoplysninger, som af hensyn til statens sikkerhed skal nyde særlig beskyttelse. I denne henseende kan der ved lovgivningsmæssige foranstaltninger fastsættes begrænsninger for de forpligtelser og rettigheder, der følger af databeskyttelsesforordningen, bl.a. af hensyn til statens sikkerhed (7). På dette grundlag er det således muligt at begrunde begrænsninger vedrørende indsamling af personoplysninger, underretning af de registrerede og disses adgang til de nævnte oplysninger eller videregivelse af disse oplysninger uden de registreredes samtykke til andre personer end den dataansvarlige, for så vidt som sådanne begrænsninger respekterer det væsentligste indhold af de registreredes grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund.
Domstolen bemærkede imidlertid, at det af de oplysninger, som Domstolen rådede over, ikke fremgik, at undersøgelseskommissionen vedrørende forbundskontoret havde hævdet, at videregivelse af den registreredes personoplysninger var nødvendig for at beskytte statens sikkerhed og var baseret på en national lovgivningsmæssig foranstaltning, der var fastsat med henblik herpå, hvilket det tilkom den forelæggende ret at efterprøve.
For det tredje og sidste bemærkede Domstolen, at databeskyttelsesforordningens bestemmelser om de nationale tilsynsmyndigheders kompetence og om retten til klage (8) ikke kræver, at der vedtages nationale gennemførelsesforanstaltninger, og at de er tilstrækkeligt klare, præcise og ubetingede til at have direkte virkning. Det følger heraf, at selv om databeskyttelsesforordningen indrømmer medlemsstaterne en skønsmargen med hensyn til antallet af tilsynsmyndigheder, der skal oprettes (9), fastsætter den derimod rækkevidden af den kompetence, som disse myndigheder skal tillægges med henblik på at kontrollere anvendelsen af databeskyttelsesforordningen. I det tilfælde, hvor en medlemsstat har valgt at etablere en enkelt national tilsynsmyndighed, har denne således nødvendigvis alle de beføjelser, der er fastsat i denne forordning. Den modsatte fortolkning ville indebære, at disse bestemmelser mister deres effektive virkning, og risikerer at svække den effektive virkning af alle andre bestemmelser i databeskyttelsesforordningen, der kan have betydning for en klage.
Hvad angår den omstændighed, at nationale forfatningsbestemmelser udelukker muligheden for, at en tilsynsmyndighed, der henhører under den udøvende magt, kan føre tilsyn med, hvorledes et organ, der henhører under den lovgivende magt, anvender databeskyttelsesforordningen, fremhævede Domstolen, at det netop er under overholdelse af medlemsstaternes forfatningsmæssige struktur, at databeskyttelsesforordningen begrænser sig til at kræve, at medlemsstaterne opretter mindst én tilsynsmyndighed, samtidig med at de gives mulighed for at oprette flere. Denne forordning indrømmer således hver medlemsstat en skønsmargen, der gør det muligt for den at oprette så mange tilsynsmyndigheder, som det måtte være nødvendigt navnlig af hensyn til de krav, der følger af medlemsstatens forfatningsmæssige struktur.
Påberåbelsen af nationale bestemmelser må desuden ikke være til skade for EU-rettens enhed og effektivitet. De virkninger, der er knyttet til princippet om EU-rettens forrang, er nemlig bindende for alle organer i en medlemsstat, uden at de interne bestemmelser, herunder bl.a. forfatningsbestemmelser, kan være til hinder herfor (10).
Når en medlemsstat har valgt at oprette en enkelt tilsynsmyndighed, kan den således ikke påberåbe sig bestemmelser i national ret, selv hvis der er tale om forfatningsbestemmelser, med henblik på at undtage behandlinger af personoplysninger, der er omfattet af databeskyttelsesforordningens anvendelsesområde, fra denne myndigheds tilsyn.