FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. SZPUNAR
fremsat den 11. maj 2023 (1)
Sag C-33/22
Österreichische Datenschutzbehörde
procesdeltager:
WK,
Präsident des Nationalrates
(anmodning om præjudiciel afgørelse indgivet af Verwaltungsgerichtshof (forvaltningsdomstol, Østrig))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – artikel 16, stk. 2, TEUF – aktiviteter, der er omfattet af EU-retten – den generelle forordning om beskyttelse af personoplysninger – aktiviteter vedrørende statens sikkerhed – undersøgelseskommission, der er nedsat af en medlemsstats parlament – kontrol med en politimyndigheds aktiviteter – databeskyttelsesmyndighedens beføjelser – artikel 55, stk. 1 – artikel 77, stk. 1 – direkte virkning«
Indledning
1. Er aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament, omfattet af anvendelsesområdet for forordning (EU) 2016/679 (2), bl.a. når undersøgelsen vedrører nationale sikkerhedsspørgsmål? Kan databeskyttelsesforordningens bestemmelser om retten til at indgive klage til en national tilsynsmyndighed i bekræftende fald anvendes direkte til trods for et forfatningsmæssigt princip, der forbyder ekstern indblanding i parlamentets aktiviteter? Det er i det væsentlige disse spørgsmål, der i den foreliggende sag er blevet rejst af Verwaltungsgerichtshof (forvaltningsdomstol, Østrig).
2. Jeg vil i overensstemmelse med Domstolens praksis foreslå, at disse spørgsmål besvares bekræftende. En sådan løsning vil efter min opfattelse være i tråd med ikke bare hensigten hos EU-lovgiver – der reelt betragtede databeskyttelsesforordningen som lex generalis i forbindelse med beskyttelse af personoplysninger – men også begrundelsen for bestemmelserne i artikel 16 TEUF, hvis anvendelsesområde omfatter medlemsstaternes kontrolaktiviteter, herunder de i hovedsagen omhandlede aktiviteter.
3. I det foreliggende tilfælde var WK, der er ansat ved kriminalpolitiet (herefter »den berørte part«), blevet hørt af en undersøgelseskommission, der var nedsat af det østrigske parlament, vedrørende ransagninger i lokaler tilhørende Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (forbundsstyrelsen til beskyttelse af forfatningen og bekæmpelse af terrorisme, Østrig, herefter »BVT«). Høringsreferatet var efterfølgende blevet offentliggjort på det østrigske parlaments websted med angivelse af den berørte parts fulde navn, eftersom hans identitet allerede var blevet oplyst i pressen.
4. Den berørte part indgav med henvisning til, at hans ret til fortrolig behandling af personoplysninger var blevet krænket, en klage til Österreichische Datenschutzbehörde (den østrigske databeskyttelsesmyndighed, herefter »Datenschutzbehörde«) i henhold til databeskyttelsesforordningens artikel 77, stk. 1, hvor klagen imidlertid ikke blev realitetsbehandlet. Henset til princippet om magtadskillelse, der er fastsat i østrigsk ret, erklærede Datenschutzbehörde, at den savnede kompetence, idet dens kontrolbeføjelse i det foreliggende tilfælde var uforenelig med parlamentariske organers forfatningsmæssige uafhængighed.
5. Det er under disse omstændigheder, at den berørte part har anlagt sit søgsmål, hvis udfald afhænger af besvarelsen af de præjudicielle spørgsmål, som Domstolen er blevet forelagt. Disse spørgsmål vedrører i det væsentlige det materielle anvendelsesområde og den direkte virkning af de relevante bestemmelser i databeskyttelsesforordningen, hvis indhold gengives i det følgende.
Retsforskrifter
EU-retten
6. 16., 20., og 117. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»(16) Denne forordning finder ikke anvendelse på spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af personoplysninger, der vedrører aktiviteter, som falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik.
[…]
(20) Selv om denne forordning bl.a. finder anvendelse på domstoles og andre judicielle myndigheders aktiviteter, kan EU-retten eller medlemsstaternes nationale ret præcisere, hvilke behandlingsaktiviteter og ‑procedurer der finder anvendelse i forbindelse med domstoles og andre judicielle myndigheders behandling af personoplysninger. Tilsynsmyndighedernes kompetence bør af hensyn til dommerstandens uafhængighed under udførelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke omfatte domstolenes behandling af personoplysninger, når domstole handler i deres egenskab af domstol. […]
[…]
(117) Oprettelse af tilsynsmyndigheder i medlemsstaterne, som har beføjelser til at udføre deres opgaver og udøve deres beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur.«
7. Databeskyttelsesforordningens artikel 2 med overskriften »Materielt anvendelsesområde« bestemmer:
»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. Denne forordning gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i [EU-traktaten]
c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter
d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
[…]«
8. Databeskyttelsesforordningens artikel 23 med overskriften »Begrænsninger« fastsætter i stk. 1:
»EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
a) statens sikkerhed
[…]
h) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g)
[…]«
9. Databeskyttelsesforordningens artikel 51, stk. 1, med overskriften »Tilsynsmyndighed« lyder således:
»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«
10. Databeskyttelsesforordningens artikel 55 med overskriften »Kompetence« er affattet således:
»1. Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.
[…]
3. Tilsynsmyndigheder er ikke kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol.«
11. Databeskyttelsesforordningens artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« bestemmer i stk. 1:
»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed […], hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.«
Østrigsk ret
12. Artikel 53 i Bundes-Verfassungsgesetz (forbundsforfatningsloven) af 2. januar 1930 (BGBl 1/1930), som affattet den 30. december 2021 (BGBl. I, 235/2021), bestemmer:
»(1) Nationalrat [nationalrådet] kan beslutte at nedsætte undersøgelseskommissioner. Der skal desuden nedsættes en undersøgelseskommission, hvis en fjerdedel af rådets medlemmer anmoder herom.
(2) Undersøgelsens genstand er et afsluttet forhold på et område, der henhører under forbundsstatens udøvende myndighed. Dette omfatter alle aktiviteter, der udøves af de forbundsorganer, hvori forbundsstaten udøver rettigheder som følge af økonomiske interesser og tilsynsrettigheder, uanset hvor store interesser der er tale om. Undersøgelseskommissioner kan ikke efterprøve retspraksis.
(3) Alle organer under forbundsstaten, delstaterne, kommunerne og kommunesammenslutningerne og andre selvstyrende organer skal efter anmodning fremlægge deres sagsakter og dokumenter for en undersøgelseskommission, for så vidt som disse sagsakter og dokumenter er relevante for undersøgelsens genstand, og efterkomme en undersøgelseskommissions anmodning om bevisoptagelse i tilknytning til undersøgelsens genstand. […]
[…]«
13. § 18 med overskriften »Oprettelse« i Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (forbundslov til beskyttelse af fysiske personer ved behandling af personoplysninger) af 17. august 1999 (BGBl. I, 165/1999), som affattet den 26. juli 2021 (BGBl. I, 148/2021, herefter »databeskyttelsesloven«), bestemmer i stk. 1:
»Datenschutzbehörde oprettes som national tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 51.«
14. Databeskyttelseslovens § 24 med overskriften »Klager til Datenschutzbehörde« har følgende ordlyd:
»(1) Enhver registreret har ret til at indgive klage til Datenschutzbehörde, hvis vedkommende finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder databeskyttelsesforordningen […]«
15. Databeskyttelseslovens § 35 med overskriften »Databeskyttelsestilsynsmyndighedens nærmere beføjelser«, bestemmer i stk. 1:
»Datenschutzbehörde skal sikre databeskyttelsen i henhold til de nærmere bestemmelser i databeskyttelsesforordningen og i denne forbundslov.«
Sagens faktiske omstændigheder, retsforhandlingerne i hovedsagen og de præjudicielle spørgsmål
Sagens baggrund
16. Den 20. april 2018 nedsatte Nationalrat, som er det østrigske parlaments førstekammer, en undersøgelseskommission, der fik til opgave at undersøge, hvilken indflydelse der var blevet udøvet på BVT for at instrumentalisere styrelsens aktiviteter. De medlemmer af rådet, der havde anmodet om undersøgelsen, havde navnlig henvist til magtmisbrug hos BVT’s ansatte, rygter om aflytningsudstyr på forbundsregeringens kontorer, formodet instrumentalisering af undersøgelser, der var rettet mod visse yderligtgående bevægelser, og politisk motiverede udnævnelser i BVT og i ministerkabinetter.
17. Den 19. september 2018 blev den berørte part hørt som vidne af undersøgelseskommissionen. Den berørte part, der arbejder i en af forbundspolitiets indsatsgrupper til bekæmpelse af gadekriminalitet, blev udspurgt om ransagninger og dataindsamling, som hans gruppe havde foretaget på BVT’s kontorer og hjemme hos BVT’s ansatte.
18. Undersøgelseskommissionen afslørede i modsætning til sin praksis over for visse andre vidner, og selv om den berørte part havde anmodet om at forblive anonym, hans identitet ved at offentliggøre hele høringsreferatet på det østrigske parlaments websted.
Retsforhandlingerne i hovedsagen
19. Den klage, som den berørte person havde indgivet til Datenschutzbehörde i henhold til databeskyttelsesforordningens artikel 77, stk. 1, blev afvist på grund af manglende kompetence. Denne myndighed gjorde i sin afgørelse af 18. september 2019 gældende, at princippet om magtadskillelse var til hinder for, at den blandede sig i et parlamentarisk organs arbejde.
20. Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager) gav ved dom af 23. november 2020 den berørte part medhold i den sag, som han havde anlagt til prøvelse af afgørelsen af 18. september 2019. Denne domstol ophævede Datenschutzbehördes afgørelse med henvisning til, at databeskyttelsesforordningens bestemmelser ikke indeholder undtagelser, der kan begrænse dens anvendelsesområde i forhold til lovgivningsmagtens organer
21. Datenschutzbehörde har iværksat revisionsanke til prøvelse af denne dom ved Verwaltungsgerichtshof (forvaltningsdomstol), der er i tvivl om, hvorvidt databeskyttelsesforordningens bestemmelser finder anvendelse i hovedsagen.
De præjudicielle spørgsmål
22. Den forelæggende ret ønsker for det første – og uafhængigt af genstanden for den i hovedsagen omhandlede undersøgelse – oplyst, om en parlamentarisk undersøgelseskommissions aktiviteter »er omfattet af EU-retten« som omhandlet i artikel 16, stk. 2, TEUF. Ifølge denne bestemmelse har Europa-Parlamentet og Rådet kompetence til at vedtage regler for behandling af personoplysninger, der foretages af medlemsstaterne.
23. Eftersom Unionens beføjelser er begrænset af princippet om kompetencetildeling, er den forelæggende ret nærmere bestemt usikker på, om databeskyttelsesforordningen finder anvendelse på aktiviteter, som udøves af et parlamentarisk organ, der er tildelt en politisk kontrolopgave, og som ikke synes at være omfattet af specifikke EU-retlige bestemmelser.
24. Da det desuden er nødvendigt at beskytte den nationale identitet og medlemsstaternes centrale funktioner i overensstemmelse med artikel 4, stk. 2, TEU, vil det ifølge den forelæggende ret stride mod princippet om magtadskillelse, der er fastsat i den østrigske forfatning, hvis et administrativt organ såsom Datenschutzbehörde blander sig i parlamentets arbejde.
25. I lyset af Land Hessen-dommen (3), hvori Domstolen bekræftede, at databeskyttelsesforordningens bestemmelser fandt anvendelse på arbejdet i et udvalg for andragender ved Hessischer Landtag (parlamentet i delstaten Hessen), ønsker den forelæggende ret endelig oplyst, om der bør sondres mellem de opgaver, der påhviler det sidstnævnte udvalg, som kun yder et indirekte bidrag til det parlamentariske arbejde, og de opgaver, der varetages af undersøgelseskommissioner. Undersøgelseskommissioner beskæftiger sig efter den forelæggende rets opfattelse med den parlamentariske aktivitets kerneområde og kan derfor falde uden for EU-rettens anvendelsesområde.
26. Såfremt Domstolen fastslår, at databeskyttelsesforordningens bestemmelser finder anvendelse på undersøgelseskommissioners aktiviteter, ønsker den forelæggende ret for det andet oplyst, om den kommission, der er omhandlet i hovedsagen, bør undtages fra disse bestemmelser, eftersom dens arbejde er relateret til nationale sikkerhedsanliggender.
27. Den forelæggende ret har hertil anført, at ifølge 16. betragtning til databeskyttelsesforordningen falder »aktiviteter vedrørende statens sikkerhed« uden for denne forordnings anvendelsesområde. Dette kan ifølge denne ret omfatte undersøgelsen af det politiske pres, der udøves på BVT, som er det forbundsorgan, der er ansvarligt for at beskytte centrale statslige funktioner.
28. Såfremt Domstolen konkluderer, at databeskyttelsesforordningens bestemmelser alligevel gælder i det foreliggende tilfælde, ønsker den forelæggende ret for det tredje oplyst, om denne forordning finder direkte anvendelse.
29. Hvis der ikke er fastsat en passende undtagelse på forfatningsmæssigt niveau, er Datenschutzbehördes kompetence nemlig begrænset af princippet om magtadskillelse, som gælder efter østrigsk ret. Den forelæggende ret er derfor i tvivl om, hvorvidt denne myndigheds kompetence i forhold til det østrigske parlaments organer kan følge direkte af databeskyttelsesforordningens artikel 77, stk. 1, sammenholdt med denne forordnings artikel 55, stk. 1, når den nationale lovgiver kun har oprettet en enkelt tilsynsmyndighed i henhold til denne forordnings artikel 51, stk. 1.
30. Det er i denne sammenhæng, at Verwaltungsgerichtshof (forvaltningsdomstol) har besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Er aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, uafhængigt af undersøgelsens genstand omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF, således at [databeskyttelsesforordningen] finder anvendelse på en medlemsstats parlamentariske undersøgelseskommissions behandling af personoplysninger?
Såfremt det første spørgsmål besvares bekræftende:
2) Er aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, og hvis undersøgelsesgenstand er en politimæssig efterretningstjenestes aktiviteter, og dermed aktiviteter vedrørende statens sikkerhed som omhandlet i 16. betragtning til [databeskyttelsesforordningen], omfattet af undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a)?
Såfremt det andet spørgsmål besvares benægtende:
3) Såfremt en medlemsstat – som i den foreliggende sag – kun har etableret en enkelt tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 51, stk. 1, fremgår dennes kompetence til at behandle klager som omhandlet i databeskyttelsesforordningens artikel 77, stk. 1, sammenholdt med databeskyttelsesforordningens artikel 55, stk. 1, da allerede direkte af [denne forordning]?«
31. Den berørte part, Präsident des Nationalrates (nationalrådets formand, Østrig), Datenschutzbehörde, den østrigske og den tjekkiske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. De samme procesdeltagere deltog i retsmødet den 6. marts 2023.
Bedømmelse
Det første præjudicielle spørgsmål
32. Med det første spørgsmål ønsker den forelæggende ret oplyst, om aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, er omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF.
33. Besvarelsen af dette spørgsmål afhænger for det første af, hvilken fortolkning der anlægges af begrebet »aktiviteter, der er omfattet af EU-retten«, i artikel 16, stk. 2, første punktum, TEUF. Dette begreb optræder ligeledes – i en negativ formulering – i databeskyttelsesforordningens artikel 2, stk. 2, litra a), hvorefter denne forordning ikke gælder for »aktiviteter, der falder uden for EU-retten«. Disse to bestemmelser afgrænser henholdsvis EU-organers kompetence til at vedtage regler for beskyttelse af personoplysninger og databeskyttelsesforordningens materielle anvendelsesområde.
34. For det andet afhænger besvarelsen af det første præjudicielle spørgsmål af, hvordan parlamentariske undersøgelseskommissioners aktiviteter kvalificeres i forhold til de nævnte bestemmelser i EUF-traktaten og databeskyttelsesforordningen.
Begrebet »aktiviteter, der er omfattet af EU-retten«
35. Som jeg har forsøgt at godtgøre i en anden sag (4), er dette begreb ikke helt entydigt, eftersom det kan udlægges på to forskellige måder. Da der i den foreliggende sag er opstået uenighed om fortolkningen af dette begreb på trods af Domstolens faste praksis (5), er det efter min opfattelse nødvendigt at gennemgå begrundelserne for dens tidligere afgørelser på området mere detaljeret.
– Den konkretiserende fortolkning
36. Den første af de to mulige fortolkninger af »EU-rettens anvendelsesområde« kan kvalificeres som konkretiserende, eftersom den tager afsæt i spørgsmålet om, hvorvidt en given aktivitet er omfattet af en specifik bestemmelse i EU-retten.
37. Denne fortolkning svarer i det væsentlige til begrebet »EU-rettens gennemførelse«, som afgrænser anvendelsesområdet for Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«). Dette begreb er i Domstolens praksis, men i en sammenhæng, hvor der ikke var tale om beskyttelse af personoplysninger, blevet sidestillet med »EU-rettens anvendelsesområde« (6).
38. Den forelæggende ret har støttet sig på denne fortolkning i sin anmodning om præjudiciel afgørelse, hvori den har påpeget, at parlamentariske undersøgelseskommissioners aktiviteter alene er omfattet af national ret, og at det derfor er tvivlsomt, om databeskyttelsesforordningen finder anvendelse i hovedsagen.
39. Generaladvokat Tizzano gik ind for den samme fortolkning i sine forslag til afgørelser i de forenede sager Österreichischer Rundfunk m.fl. (7) og i Lindqvist-sagen (8), som vedrørte direktiv 95/46/EF (9), og som Domstolen ikke tilsluttede sig.
40. Det skal påpeges, at direktiv 95/46 var blevet vedtaget på grundlag af den tidligere artikel 100 A i EF-traktaten, der senere blev til artikel 95 EF og dernæst til artikel 114 TEUF, som led i foranstaltninger, der vedrørte det indre markeds oprettelse og funktion. Dette direktiv, hvis formål var at sikre fri udveksling af personoplysninger og et ensartet beskyttelsesniveau for sådanne oplysninger inden for EU, gjaldt i henhold til artikel 3, stk. 2, ikke for aktiviteter, der »ikke [var] omfattet af fællesskabsretten, som f.eks. de aktiviteter, der [var] fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der [vedrørte] den offentlige sikkerhed, forsvar, statens sikkerhed […] og statens aktiviteter på det strafferetlige område«, og heller ikke for behandling af oplysninger, der blev foretaget »af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter«.
41. Generaladvokat Tizzano konkluderede i lyset af disse bestemmelser, at direktiv 95/46 ikke fandt anvendelse i sagen Österreichischer Rundfunk m.fl. (10). I forbindelse med behandling af oplysninger om lønninger udbetalt af offentlige institutioner, som skulle indgå i en beretning, som Rechnungshof (den østrigske revisionsret) skulle forelægge for parlamentet, fastslog generaladvokaten således, at Rechnungshof i det pågældende tilfælde gennemførte en »offentligretlig revision, der er fastsat og reguleret af de østrigske myndigheder (endog i medfør af grundloven) på grundlag af et selvstændigt politisk og institutionelt betinget valg, der ikke er truffet med henblik på at opfylde en fællesskabsretlig forpligtelse. Eftersom denne aktivitet ikke er genstand for nogen specifik fællesskabsretlig regulering, kan den kun henhøre under medlemsstaternes kompetenceområde« (11).
42. Ifølge den tilsvarende fortolkning i Lindqvist-sagen fastslog generaladvokat Tizzano, at den hjemmeside, som Bodil Lindqvist havde oprettet i forbindelse med sin aktivitet som frivillig kateket, skulle betragtes som en »ikke-økonomisk aktivitet, der ikke har nogen forbindelse (eller i det mindste ikke nogen direkte forbindelse) med udøvelsen af de grundlæggende frihedsrettigheder, der garanteres i traktaten og ikke er omfattet af nogen specifik lovgivning på fællesskabsplan« (12). Generaladvokaten anførte, at denne aktivitet derfor faldt uden for fællesskabsretten som omhandlet i artikel 3, stk. 2, i direktiv 95/46.
43. Domstolen valgte ikke at følge disse forslag til afgørelse, hvilket skyldtes ønsket om at beskytte retssikkerheden og behovet for at sikre den effektive virkning af direktiv 95/46.
44. Da personoplysninger kendetegnes ved, at det er let at udveksle dem og at udnytte dem økonomisk, når de er digitale, er det nemlig meget vanskeligt at afgøre i praksis fra sag til sag, om deres behandling er knyttet til bestemte EU-retlige bestemmelser eller til den frie bevægelighed på det indre marked, hvilket er nødvendigt for at kunne foretage en konkretiserende fortolkning.
45. For at vende tilbage til eksemplet i den sag, der gav anledning til Lindqvist-dommen (13), er det vanskeligt at afgøre i praksis, om anvendelsen af et websted, der henvender sig til et mindre antal medlemmer af menigheden, har en konkret tilknytning til bestemmelserne i direktiv 95/46 om fri udveksling af oplysninger mellem medlemsstaterne inden for det indre marked. Svaret på dette spørgsmål kan navnlig afhænge af den fysiske placering af den server, der er vært for det pågældende websted (14).
46. Hertil kommer, at der kan opstå lignende vanskeligheder, hvis der i den foreliggende sag anlægges en konkretiserende fortolkning i forbindelse med databeskyttelsesforordningen.
47. Det vil eksempelvis være vanskeligt at afgøre præcist, i hvilket omfang aktiviteter, der udøves af visse dataansvarlige – såsom kirker eller religiøse sammenslutninger, der udtrykkeligt er omfattet af denne forordning (15) – faktisk er underlagt specifikke EU-retlige bestemmelser (16). Det samme gør sig gældende for organer, som ikke arbejder med gevinst for øje og ikke driver økonomisk virksomhed. Dette fører til manglende retssikkerhed for så vidt angår databeskyttelsesforordningens anvendelse.
48. Domstolen undlod som følge af disse vanskeligheder at anvende en konkretiserende fortolkning af »fællesskabsrettens anvendelsesområde« i forbindelse med direktiv 95/46. I dommen i sagen Österreichischer Rundfunk m.fl. (17) og i Lindqvist-dommen (18) fastslog den, at »[d]a alle personoplysninger vil kunne udveksles mellem medlemsstaterne, finder reglerne for beskyttelse af sådanne oplysninger ifølge direktiv 95/46 principielt anvendelse på enhver form for behandling af personoplysninger som defineret i direktivets artikel 3. […] Anvendelsen af direktiv 95/46 afhænger således ikke af, om de konkrete situationer, der er omhandlet […], har en tilstrækkelig tilknytning til udøvelsen af de grundlæggende friheder, der er garanteret i traktaten […]. Risikoen ved en fortolkning med modsat resultat ville være, at grænserne for nævnte direktivs anvendelsesområde ville blive særdeles usikre og uberegnelige, hvilket ville være uforeneligt med direktivets grundlæggende formål, der er at foretage en indbyrdes tilnærmelse af medlemsstaternes nationale love og administrative bestemmelser for at fjerne de hindringer for det indre markeds funktion, der netop hidrører fra forskellene i de nationale lovgivninger« (19).
49. Domstolen har derfor valgt at anlægge en »generaliserende« fortolkning af direktiv 95/46 i sin praksis.
– Den generaliserende fortolkning
50. Den generaliserende fortolkning indebærer, at alle aktiviteter henføres til EU-rettens anvendelsesområde, såfremt de vil kunne omfattes heraf, dvs. at de ikke ligger uden for dette anvendelsesområde som følge af medlemsstaternes enekompetence.
51. I forbindelse med direktiv 95/46 indebar denne fortolkning, at Domstolen fortolkede undtagelsen for aktiviteter, der ikke var omfattet af fællesskabsretten, snævert. I Lindqvist-dommen fastslog Domstolen således, at »de aktiviteter, der er nævnt som eksempler i artikel 3, stk. 2, første led, i direktiv 95/46, skal fastlægge rækkevidden af [den undtagelse], der er fastsat heri, således at denne undtagelse kun finder anvendelse på aktiviteter, der er udtrykkeligt nævnt i bestemmelsen, eller som kan henføres til samme kategori (ejusdem generis)« (20).
52. Før Lissabontraktaten trådte i kraft, var de aktiviteter, der faldt ind under denne undtagelse – aktiviteterne vedrørende den offentlige sikkerhed, forsvaret, statens sikkerhed og det strafferetlige område og de aktiviteter, der var fastsat i afsnit V og VI i traktaten om Den Europæiske Union – omfattet af den anden og den tredje søjle i Unionen og indgik dermed i det mellemstatslige samarbejde. Disse aktiviteter kunne derfor ikke gøres til genstand for fællesskabsretlig regulering, henset til den kompetencefordeling mellem Unionen og medlemsstaterne, der på daværende tidspunkt var fastsat i traktaterne.
53. Undtagelsen for »aktiviteter, der ikke er omfattet af fællesskabsretten«, i artikel 3, stk. 2, første led, i direktiv 95/46 skal forstås i denne sammenhæng. Databeskyttelsesforordningens anvendelsesområde er imidlertid blevet fastlagt på en tilsvarende måde.
54. I henhold til databeskyttelsesforordningens artikel 2, stk. 2, litra a)-d), gælder denne forordning ikke for behandling af personoplysninger »a) under udøvelse af aktiviteter, der falder uden for EU-retten, b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU, c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter, [og] d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed«. Den sidstnævnte behandling af oplysninger er underlagt bestemmelserne i direktiv (EU) 2016/680 (21).
55. Ifølge 16. betragtning til databeskyttelsesforordningen hører aktiviteter vedrørende statens sikkerhed til de aktiviteter, som falder uden for EU-retten.
56. Med støtte i alle disse bestemmelser fastslog Domstolen i Land Hessen-dommen, at undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a), vedrørende »aktiviteter, der falder uden for EU-retten«, skal fortolkes strengt, hvilket indebærer, at »den omstændighed, at en aktivitet er statens eller en offentlig myndigheds, ikke [er] tilstrækkelig til, at denne undtagelse automatisk finder anvendelse på en sådan aktivitet. Det er nemlig nødvendigt, at denne aktivitet figurerer blandt de aktiviteter, der udtrykkeligt er nævnt i den nævnte bestemmelse, eller at den kan henføres til samme kategori som disse« (22).
57. Ingen af de argumenter, der er fremført i den foreliggende sag, kan efter min opfattelse rejse tvivl om denne fortolkning.
58. Jeg kan i særdeleshed ikke tiltræde de argumenter vedrørende princippet om kompetencetildeling, der navnlig er fremført af den forelæggende ret og af Präsident des Nationalrates (nationalrådets formand).
59. I overensstemmelse med princippet om kompetencetildeling, der er fastsat i artikel 5, stk. 2, TEU (23), handler Unionen kun inden for rammerne af de beføjelser, som medlemsstaterne har tildelt den i traktaterne.
60. Rent leksikalt virker begrebet »aktiviteter, der er omfattet af EU-retten«, tvetydigt i denne henseende. Den generaliserende fortolkning af dette begreb, som Domstolen har anlagt i sin praksis, kan umiddelbart forekomme tvivlsom, eftersom den medfører, at alle aktiviteter, der ikke er undtaget fra databeskyttelsesforordningen, omfattes af bestemmelserne heri, hvilket synes at være i strid med det ovenfor nævnte princip.
61. I henhold til fast retspraksis skal der imidlertid ved fortolkningen af en EU-retlig bestemmelse ikke blot tages hensyn til dennes ordlyd og de mål, som den forfølger, men også til den sammenhæng, hvori den indgår, og til EU-rettens bestemmelser som helhed. En EU-retlig bestemmelses tilblivelseshistorie kan ligeledes give relevante elementer med henblik på dens fortolkning (24).
62. Hvis der ses bort fra en ordlydsfortolkning, som efter min opfattelse ikke vil belyse, hvad der menes med »EU-rettens anvendelsesområde«, taler den kontekstuelle (25) og teleologiske vurdering imidlertid klart for en generaliserende fortolkning af artikel 16, stk. 2, TEUF, som indebærer, at denne bestemmelse opnår en større rækkevidde end »EU-rettens gennemførelse« som omhandlet i chartrets artikel 51, stk. 1.
63. For det første må dette konkluderes i lyset af EUF-traktatens systematik og af den konkrete placering af artikel 16, stk. 2, i denne traktats arkitektur.
64. Den pågældende artikel optræder i afsnit II vedrørende »Almindelige bestemmelser« i EUF-traktatens første del. Heraf følger, at fysiske personers ret til beskyttelse af personoplysninger i medfør af denne bestemmelse tillægges en særlig betydning i forhold til de andre grundlæggende rettigheder, som er indeholdt i chartret, der er knyttet som bilag til traktaten.
65. Den fremtrædende placering af artikel 16 TEUF i traktatens opbygning tilkendegiver mere konkret, at det »anvendelsesområde«, der er omhandlet i denne bestemmelse, ikke er begrænset til situationer, hvor medlemsstaterne »gennemfører EU-retten« som omhandlet i chartrets artikel 51, stk. 1, hvilket svarer til den konkretiserende fortolkning, der er beskrevet ovenfor.
66. Det bør i denne forbindelse fremhæves, at bestemmelserne i artikel 16, stk. 2, TEUF og chartrets bestemmelser er af forskellig karakter.
67. Chartret skaber ifølge artikel 51, stk. 2, heri »ingen nye kompetencer eller nye opgaver for Unionen og ændrer ikke de kompetencer og opgaver, der er fastlagt i traktaterne«. Chartrets bestemmelser er rettet til medlemsstaterne, for så vidt som de gennemfører EU-retten på de områder, der allerede er omfattet af EU-rettens anvendelsesområde.
68. Anderledes forholder det sig med artikel 16, stk. 2, TEUF, som fastsætter en lovgivningsmæssig kompetence, der uddelegeres til Unionen, for så vidt angår beskyttelse og fri udveksling af personoplysninger og til dette formål fastlægger et specifikt anvendelsesområde, der er baseret på bestemmelserne i direktiv 95/46, hvilket fremgår af denne bestemmelses tilblivelseshistorie.
69. For det andet fremgår det nemlig klart af forarbejderne til Lissabontraktaten, at EUF-traktatens ophavsmænd ønskede at fastholde det anvendelsesområde for reglerne for beskyttelse af personoplysninger, som var blevet fastlagt i forbindelse med direktiv 95/46.
70. Det skal herved påpeges, at indholdet af artikel 16 TEUF er direkte inspireret af udkastet til traktat om en forfatning for Europa, som i artikel 36a, stk. 2 (artikel 50, stk. 2, i den endelige udgave af udkastet af 18. juli 2003 (26)), gav Parlamentet og Rådet kompetence til at vedtage »reglerne for den beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, der skal varetages af Unionens institutioner og organer samt af medlemsstaterne under udøvelsen af aktiviteter, der er omfattet af EU-retten, og for den frie udveksling af personoplysninger« (27).
71. Ophavsmændene forklarede imidlertid, at »[f]ormålet med udkastet til artikel 36a er at tilvejebringe ét enkelt retsgrundlag for beskyttelse af personoplysninger – såvel med hensyn til institutionernes som medlemsstaternes beskyttelse af sådanne oplysninger, når disse handler på et område, der henhører under EU-retten. Teksten bygger på den nuværende fællesskabsordning, der er indført ved [direktiv 95/46] (vedtaget på grundlag af artikel 95 i TEF) for så vidt angår medlemsstaternes foranstaltninger« (28).
72. Det er således klart, at hvis begrebet »EU-rettens anvendelsesområde« i databeskyttelsesforordningens artikel 2, stk. 2, litra a), fortolkes således, at denne forordnings anvendelsesområde begrænses i forhold til anvendelsesområdet for direktiv 95/46, vil dette ikke være foreneligt med den hensigt, som medlemsstaterne tilkendegav i EUF-traktaten.
73. For det tredje skal der tages hensyn til teleologiske overvejelser i forbindelse med dynamikken i og de specifikke formål med den beskyttelse af personoplysninger, der dannede grundlag for databeskyttelsesforordningens vedtagelse.
74. Set i dette perspektiv er der ingen tvivl om, at EU-lovgiver ønskede at styrke denne beskyttelse og at udvide anvendelsesområdet for de relevante regler. Dette ses af valget om at erstatte direktiv 95/46 med strengere lovbestemmelser og fremgår udtrykkeligt af indholdet af 9., 11. og 13. betragtning til databeskyttelsesforordningen.
75. De i denne henseende omfattede målsætninger følger af den specifikke karakter af fænomenet behandling af personoplysninger, som rækker ud over de aktiviteter, hvor disse oplysninger kan indsamles.
76. Disse aktiviteter er i øvrigt ikke nødvendigvis økonomiske aktiviteter, som allerede er omfattet af de EU-retlige regler for det indre marked, hvilket ikke forringer de indsamlede oplysningers handelsværdi og ikke mindsker de risici, der er forbundet med deres behandling.
77. Problematikken i forbindelse med personoplysninger er i denne henseende af tværgående karakter, hvilket betyder, at reglerne om deres beskyttelse ikke kan begrænses til anvendelsesområdet for de kategorier, der tidligere var fastsat i EU-retten.
78. Når »EU-rettens anvendelsesområde« som omhandlet i artikel 16, stk. 2, TEUF er mere vidtrækkende end »EU-rettens gennemførelse« som omhandlet i chartrets artikel 51, stk. 1, skyldes det med andre ord de selvstændige problematikker, som er forbundet med behandling af personoplysninger, og som har krævet en særlig lovgivning, der har en større rækkevidde end alle tidligere EU-retlige bestemmelser. Set på denne baggrund afspejler databeskyttelsesforordningens brede anvendelsesområde hensigten om at håndtere udfordringerne i forbindelse med beskyttelse af personoplysninger ved at vedtage »skræddersyede« bestemmelser.
79. Henset til de samstemmende konklusioner, der følger af den kontekstuelle og teleologiske vurdering af artikel 16, stk. 2, TEUF, foreslår jeg, at Domstolen bekræfter sin tidligere praksis (29) ved at anlægge en streng fortolkning af undtagelsen vedrørende »aktiviteter, der falder uden for EU-retten«, i databeskyttelsesforordningens artikel 2, stk. 2, litra a).
80. I lyset af denne fortolkning bør Domstolen efter min opfattelse vurdere, om denne forordning finder anvendelse på aktiviteter udøvet af den parlamentariske undersøgelseskommission, der er omhandlet i hovedsagen.
Databeskyttelsesforordningens anvendelse på den parlamentariske undersøgelseskommissions aktiviteter
81. Det er indledningsvis nødvendigt at se på, hvordan databeskyttelsesforordningens anvendelsesområde er fastlagt i de relevante bestemmelser i denne forordning.
– De institutionelle kriteriers sekundære betydning for fastlæggelsen af databeskyttelsesforordningens anvendelsesområde
82. Det bør fremhæves, at organiske eller institutionelle overvejelser om, hvilke organer eller personer der er ansvarlige for behandling af personoplysninger, er af sekundær betydning for fastlæggelsen af databeskyttelsesforordningens anvendelsesområde.
83. Databeskyttelsesforordningens anvendelsesområde er nemlig baseret på det materielle begreb »behandling« af personoplysninger i overensstemmelse med denne forordnings artikel 2, stk. 1. Det organiske begreb »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), er i denne sammenhæng af underordnet karakter, eftersom det i det væsentlige er baseret på det materielle behandlingsbegreb. Selv om der i definitionen af den dataansvarlige henvises til »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ«, indebærer denne henvisning nemlig, at der ikke tages hensyn til de organiske kriterier i forbindelse med dens anvendelse.
84. Selv om der i de bestemmelser, som begrænser databeskyttelsesforordningens materielle anvendelsesområde, og som er indeholdt i denne forordnings artikel 2, stk. 2, henvises til visse kategorier af personer eller organer, nemlig medlemsstaterne, fysiske personer og kompetente myndigheder på det strafferetlige område, sker det desuden stadig i forbindelse med de aktiviteter, der falder uden for denne forordnings anvendelsesområde. Det er derfor ikke personer som sådan, der udelukkes fra databeskyttelsesforordningens anvendelsesområde, men alene visse af deres aktiviteter.
85. De institutionelle kriteriers sekundære betydning bekræftes ligeledes af den måde, hvorpå de delvise undtagelser, der begrænser rækkevidden af specifikke bestemmelser i databeskyttelsesforordningen, defineres. For at nævne et eksempel (30) falder domstolene ganske vist uden for de nationale tilsynsmyndigheders kompetenceområde i henhold til databeskyttelsesforordningens artikel 55, stk. 3, men kun for så vidt som de handler i deres egenskab af domstol. Denne undtagelses rækkevidde afhænger derfor ikke af retsinstansernes status, men af deres aktiviteters særlige karakter.
86. Når databeskyttelsesforordningen ikke indeholder bestemmelser, der specifikt omhandler parlamentariske organer, indebærer dette efter min opfattelse, at muligheden for at anvende denne forordning ikke afhænger af de parlamentariske organers status i henhold til østrigsk ret, men af deres aktiviteters karakter.
– Karakteren af den i hovedsagen omhandlede undersøgelseskommissions aktiviteter
87. I lyset af samtlige oplysninger, som Domstolen er i besiddelse af, kan de opgaver, der påhviler denne kommission, kvalificeres som offentlige kontrolaktiviteter, der er forbundet med offentlig myndighedsudøvelse.
88. Denne kvalificering fremgår af selve ordlyden af det første og det andet præjudicielle spørgsmål, der vedrører aktiviteter i forbindelse med kontrollen med den udøvende magt. Den forelæggende ret har forklaret, at »[u]ndersøgelseskommissioner har til formål at belyse visse forhold med et politisk sigte […]. Undersøgelseskommissioner er i denne forbindelse forpligtet til at varetage den kontrolopgave, som de er blevet pålagt i forfatningen« (31).
89. Denne kvalificering understøttes af de skriftlige indlæg, der er indgivet til Domstolen (32).
90. Henset til de forklaringer, som Präsident des Nationalrates afgav i retsmødet, er det desuden ubestridt, at den pågældende undersøgelseskommission råder over visse offentligretlige beføjelser såsom retten til at indkalde vidner eller til at få aktindsigt i dokumenter vedrørende undersøgelsens genstand, herunder retten til at pålægge økonomiske sanktioner, for at sikre, at undersøgelsen gennemføres korrekt.
91. Der synes derimod at herske en vis usikkerhed om, hvorvidt denne kommissions aktiviteter er af lovgivningsmæssig karakter, og hvilke konsekvenser dette kan have for databeskyttelsesforordningens anvendelse.
92. Präsident des Nationalrates har hertil anført, at »[u]ndersøgelseskommissioner såvel organisatorisk som funktionelt henhører under den lovgivende magt. Handlinger, der udføres af undersøgelseskommissioner eller på deres vegne, indgår således i statens lovgivningsmæssige funktion« (33). Det følger efter formandens opfattelse heraf, at »[a]ktiviteter, der udøves af en undersøgelseskommission, [således] spiller […] en central rolle på lovgivningsområdet og falder som rent parlamentarisk og politisk (kontrol)aktivitet ind under den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra a)« (34).
93. Jeg vil gerne fremsætte tre bemærkninger til disse udtalelser.
94. Det skal for det første – uanset om undersøgelseskommissioner indgår i det lovgivningsarbejdet – fremhæves, at lovgivningsmæssige eller parlamentariske aktiviteter ikke er udelukket fra databeskyttelsesforordningens anvendelsesområde (35) til forskel fra aktiviteter, som udøves i forbindelse med retslige funktioner, og som er omfattet af den delvise undtagelse, der er fastsat i denne forordnings artikel 55, stk. 3.
95. I modsætning til visse berørte parter tvivler jeg i denne forbindelse på, at denne undtagelse kan fortolkes analogt, således at undtagelsen vedrørende retslige funktioner udvides til at omfatte lovgivningsmæssige funktioner. Hvis undtagelsen i databeskyttelsesforordningens artikel 55, stk. 3, inddrages i Domstolens ræsonnement i den foreliggende sag, kan den tværtimod kun resultere i en modsætningsvis fortolkning. Det er, henset til databeskyttelsesforordningens brede anvendelsesområde, ikke muligt at fortolke undtagelsen vedrørende retslige funktioner udvidende.
96. For det andet kan det ikke ud fra de oplysninger, som Domstolen er i besiddelse af, gøres gældende, at den i hovedsagen omhandlede undersøgelseskommissions aktiviteter har en lovgivningsmæssig funktion.
97. Den pågældende undersøgelseskommission er navnlig ikke bemyndiget til at tage lovgivningsmæssige initiativer og deltager på ingen anden måde i det østrigske parlamentets lovgivningsarbejde. Selv om den endelige undersøgelsesrapport kan udgøre en inspirationskilde for lovgiver, er dette efter min opfattelse ikke ensbetydende med, at kommissionens aktiviteter er af lovgivningsmæssig karakter. Aktiviteter, der udøves af visse udenomsparlamentariske organer – såsom den østrigske revisionsret, hvis beretninger forelægges for parlamentet – kan ligeledes inspirere lovgiver, uden at de af denne grund kan forbindes med udøvelsen af den lovgivende magt.
98. For det tredje har institutionelle overvejelser, uanset hvilken rolle de måtte have i henhold til østrigsk ret, ingen betydning for databeskyttelsesforordningens anvendelse, og den parlamentariske undersøgelseskommissions organisatoriske tilknytning er derfor ikke afgørende for besvarelsen af det første præjudicielle spørgsmål.
– Muligheden for at anvende databeskyttelsesforordningen på offentlige kontrolaktiviteter
99. Det bør i lyset af ovenstående betragtninger undersøges, om de offentlige kontrolaktiviteter, der udøves af en parlamentarisk undersøgelseskommission, er omfattet af databeskyttelsesforordningens anvendelsesområde.
100. Dette spørgsmål skal efter min opfattelse besvares bekræftende, hvilket der er tre vigtige grunde til.
101. For det første falder den pågældende kommissions behandling af personoplysninger ind under det materielle begreb »behandling«, der er defineret i databeskyttelsesforordningens artikel 2, stk. 1. Denne kvalificering er ikke blevet bestridt af de berørte parter i den foreliggende sag.
102. For det andet er offentlige kontrolaktiviteter omfattet af EU-retten som omhandlet i artikel 16, stk. 2, TEUF og i databeskyttelsesforordningens artikel 2, stk. 2, litra a), som fortolket i Domstolens praksis, bl.a. for så vidt som det ikke fremgår af nogen bestemmelse i denne forordning, at disse aktiviteter er udelukket fra dens anvendelsesområde.
103. Kontrolaktiviteter er tværtimod nævnt udtrykkeligt i databeskyttelsesforordningens artikel 23, stk. 1, litra h), hvorefter det er muligt at begrænse rækkevidden af visse rettigheder og forpligtelser, der er omhandlet i denne forordning, hvis en sådan begrænsning er nødvendig for at kunne udøve »kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse«, i visse tilfælde, der er angivet i denne bestemmelse.
104. Det følger heraf, at databeskyttelsesforordningens bestemmelser finder anvendelse på offentlige kontrolaktiviteter, men at der kan være behov for særlige tilpasninger i denne forbindelse. Selv om den beskyttelse, der følger af databeskyttelsesforordningen, kan begrænses, indebærer det imidlertid ikke, at den ikke finder anvendelse.
105. For det tredje følger det endelig ikke af den almindelige kompetencefordeling mellem Unionen og medlemsstaterne, at det kun er medlemsstaterne, der kan udøve offentlige kontrolaktiviteter.
106. Et konkret eksempel på en parlamentarisk kontrol – de to undersøgelser, der blev iværksat sideløbende i den såkaldte Dieselgate-sag af henholdsvis Europa-Parlamentet (36) og Deutscher Bundestag (forbundsdagen, Tyskland) – illustrerer klart, at der kan være et kompetencesammenfald på det pågældende område.
107. Det kan ganske vist indvendes, at EU-rettens anvendelsesområde ligeledes omfatter kontrolaktiviteter, der ikke er forbundet med anvendelsen af EU-retlige bestemmelser.
108. En sådan tilgang vil imidlertid svare til at anlægge den tidligere nævnte konkretiserende fortolkning af »EU-rettens anvendelsesområde« og dermed indebære de samme risici for retssikkerheden. Henset til selve karakteren af en parlamentarisk undersøgelse, der har til formål at belyse de pågældende omstændigheder, er det efter min opfattelse vanskeligt at afgøre på forhånd, om aktiviteter, der udøves af en undersøgelseskommission, har en konkret tilknytning til anvendelsen af EU-retlige bestemmelser (37).
109. Der skal i denne sammenhæng tages hensyn til det retssikkerhedsformål, der forfølges med databeskyttelsesforordningens bestemmelser, som skal forhindre unødig fragmentering af iværksættelsen af databeskyttelse i Unionen (38).
110. Henset til dette formål og i overensstemmelse med den løsning, som Domstolen valgte i dommen i sagen Österreichischer Rundfunk m.fl. (39), der vedrørte direktiv 95/46, bør databeskyttelsesforordningens anvendelsesområde fortolkes således, at det omfatter offentlige kontrolaktiviteter, uanset hvilken tilknytning de har til anvendelsen af specifikke EU-retlige bestemmelser.
111. Henset til det ovenfor anførte foreslår jeg, at det første præjudicielle spørgsmål besvares med, at aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, er omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF.
Det andet præjudicielle spørgsmål
112. Med det andet spørgsmål ønsker den forelæggende ret oplyst, om aktiviteter udøvet af den i hovedsagen omhandlede undersøgelseskommission er omfattet af undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning til denne forordning, henset til den særlige genstand for dens aktiviteter, der er relateret til nationale sikkerhedsanliggender.
113. Dette er efter min opfattelse ikke tilfældet, hvilket der er flere grunde til.
114. For det første bør undtagelsen for aktiviteter vedrørende statens sikkerhed, henset til databeskyttelsesforordningens brede anvendelsesområde, fortolkes strengt. Det må heraf udledes, at det kun er aktiviteter, hvis umiddelbare genstand er statens sikkerhed, der er omfattet af denne undtagelse.
115. Dette gælder tydeligvis ikke for aktiviteter udøvet af den i hovedsagen omhandlede undersøgelseskommission, som har fået til opgave at kontrollere organer under forbundsregeringen.
116. Eftersom den pågældende kontrol vedrører arbejdet i BVT, som havde til opgave at sikre statslige institutioners integritet og kontinuitet, kunne denne kommissions aktivitet bidrage indirekte til beskyttelsen af statens sikkerhed.
117. Et sådant bidrag berører imidlertid ikke karakteren af de aktiviteter, der overdrages til en undersøgelseskommission, og kan ikke medføre, at de falder uden for databeskyttelsesforordningens bestemmelser. I modsat fald ville et reklamebureau, der hyres af forsvarsministeriet til at iværksætte en kampagne for ansættelse i militæret, måske heller ikke være omfattet af denne forordning.
118. For det andet ville det være uforeneligt med det retssikkerhedsformål, der forfølges af EU-lovgiver, hvis databeskyttelsesforordningens anvendelse afhang af genstanden for en parlamentarisk undersøgelse.
119. Da genstanden for en parlamentarisk undersøgelse kan ændre sig, udgør den ikke et tilstrækkeligt fast grundlag, som gør det muligt at fastlægge databeskyttelsesforordningens anvendelsesområde. Konjunkturbestemte faktorer såsom en forsvarsministers personlige involvering i en korruptionssag – der kan bekræftes (eller afkræftes) under undersøgelsen – kan ikke anvendes som holdepunkter til dette formål.
120. For det tredje bør der ved fortolkningen af undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a), tages hensyn til denne bestemmelses ratio legis. Ratio legis synes at være knyttet til den manglende mulighed for at forene visse grundlæggende aspekter af retten til beskyttelse af personoplysninger med den tavshedspligt, der er forbundet med visse aktiviteter vedrørende statens sikkerhed.
121. Jeg har eksempelvis vanskeligt ved at se, hvordan interne efterretningstjenester kan sikre overholdelsen af retten til information og aktindsigt, som er fastsat i databeskyttelsesforordningens artikel 14 og 15, uden samtidig at kompromittere overvågningsaktiviteter rettet mod personer, der mistænkes for at tilhøre en terrorbevægelse. I denne situation vil de krav, der følger af databeskyttelsesforordningen, i bund og grund være uforenelige med hensynet til statens sikkerhed.
122. En parlamentarisk undersøgelseskommissions aktivitet synes derimod ikke at støde på en uoverstigelig hindring af denne type, og jeg kan ikke se, hvordan overholdelsen af de forpligtelser, der følger af databeskyttelsesforordningen, skulle kompromittere dens eventuelle bidrag til beskyttelsen af statens sikkerhed.
123. Den offentlige omtale, der normalt er forbundet med undersøgelseskommissioners aktiviteter, bidrager ganske vist til den parlamentariske kontrols offentlige dimension. Målet om gennemsigtighed står imidlertid i modsætning til ratio legis for databeskyttelsesforordningens artikel 2, stk. 2, litra a), som sigter mod at beskytte hemmeligheder, der vedrører statens sikkerhed.
124. For det fjerde kan det i visse tilfælde være vanskeligt at gennemføre en parlamentarisk undersøgelse korrekt uden at tilsidesætte de forpligtelser, der følger af databeskyttelsesforordningen – f.eks. hvis kommissionen får indsigt i fortrolige dokumenter, der indeholder personoplysninger – men det skal påpeges, at det i henhold til databeskyttelsesforordningens artikel 23, stk. 1, litra a) og h), er muligt at begrænse de rettigheder og de forpligtelser, der er fastsat i denne forordnings artikel 5, 12-22 og 34, såfremt denne begrænsning er nødvendig for at varetage en kontrolopgave under hensyntagen til statens sikkerhed.
125. Det følger efter min opfattelse heraf, at den forbindelse, der kan være mellem en parlamentarisk undersøgelses genstand og nationale sikkerhedsanliggender, ikke bør medføre, at undersøgelseskommissionen undtages fra databeskyttelsesforordningens anvendelsesområde. Henset til den institutionelle baggrund for aktiviteterne i sådanne kommissioner, hvis medlemmer deltager i lovgivende organers arbejde, synes det desuden at være relativt enkelt at foretage de nødvendige lovgivningsmæssige tilpasninger, således at der tages hensyn til den særlige genstand for visse parlamentariske undersøgelser, i overensstemmelse med databeskyttelsesforordningens artikel 23, stk. 1.
126. Jeg vil af alle disse grunde foreslå, at Domstolen besvarer det andet præjudicielle spørgsmål med, at aktiviteter udøvet af en parlamentarisk undersøgelseskommission, hvis genstand er undersøgelse af en politimæssig efterretningstjenestes aktiviteter vedrørende statens sikkerhed som omhandlet i 16. betragtning til databeskyttelsesforordningen, ikke er omfattet af undtagelsen i denne forordnings artikel 2, stk. 2, litra a).
Det tredje præjudicielle spørgsmål
127. Med det tredje spørgsmål ønsker den forelæggende ret oplyst, om kompetencen hos en enkelt tilsynsmyndighed, der er oprettet i henhold til databeskyttelsesforordningens artikel 51, stk. 1, til at behandle klager som omhandlet i denne forordnings artikel 77, stk. 1, kan følge direkte af den sidstnævnte bestemmelse, sammenholdt med databeskyttelsesforordningens artikel 55, stk. 1.
128. Dette spørgsmål, der er stillet for det tilfælde, at databeskyttelsesforordningen finder anvendelse på de aktiviteter, som udøves af den i hovedsagen omhandlede undersøgelseskommission, er foranlediget af forfatningsmæssige hindringer. Ifølge Verwaltungsgerichtshof (forvaltningsdomstol) og visse berørte parter er det princip om magtadskillelse, der er fastsat i østrigsk ret, til hinder for, at et administrativt organ – i dette tilfælde Datenschutzbehörde – blander sig i parlamentets aktiviteter ved at behandle klager over disse aktiviteter.
129. Det tredje præjudicielle spørgsmål skal således fastlægge, hvilken rækkevidde den direkte virkning af bestemmelserne i databeskyttelsesforordningens artikel 55, stk. 1, sammenholdt med denne forordnings artikel 77, stk. 1, har, når kompetencen hos den eneste tilsynsmyndighed, der er oprettet af en medlemsstat, risikerer at blive begrænset af et forfatningsmæssigt princip.
130. Det skal påpeges, at en EU-forordning i princippet gælder umiddelbart og i alle enkeltheder i overensstemmelse med artikel 288, stk. 2, TEUF, hvilket bekræftes i databeskyttelsesforordningens artikel 99, stk. 2, andet afsnit (40).
131. Ifølge Domstolens praksis gælder noget andet kun, såfremt en bestemmelse i en forordning kræver, at der vedtages gennemførelsesforanstaltninger, henset til den skønsmargen, som medlemsstaterne har vedrørende dens gennemførelse (41).
132. Det er i denne forbindelse min opfattelse, at bestemmelserne i databeskyttelsesforordningens artikel 77, stk. 1, hvorefter tilsynsmyndighederne har kompetence til at behandle de omhandlede klager, sammenholdt med denne forordnings artikel 55, stk. 1, er tilstrækkeligt klare og ubetingede til at kunne gælde umiddelbart.
133. Det bør tilføjes, at Domstolen allerede har bekræftet, at databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, og fastslået, at en national tilsynsmyndighed kan påberåbe sig den partsevne, som den har i henhold til denne bestemmelse, med henblik på at indlede eller fortsætte et søgsmål mod en borger, selv om den pågældende medlemsstat ikke har vedtaget nogen gennemførelsesforanstaltning til dette formål (42).
134. Under de omstændigheder, der foreligger i hovedsagen, synes der i øvrigt ikke at være behov for nogen supplerende gennemførelsesforanstaltning for at fastlægge procedurerne i forbindelse med den klageadgang, der er omhandlet i databeskyttelsesforordningens artikel 77. Datenschutzbehörde behandler regelmæssigt sådanne klager, og det eneste spørgsmål, der er rejst, vedrører dens kompetence i forhold til parlamentariske organer.
135. Dette spørgsmål er imidlertid ikke undergivet medlemsstaternes frie skøn.
136. For at retten til at indgive klage kan udøves effektivt, skal der først oprettes en eller flere tilsynsmyndigheder i overensstemmelse med databeskyttelsesforordningens artikel 51, stk. 1, hvilket medlemsstaterne skal sørge for. Her er der imidlertid tale om et spørgsmål vedrørende den sidstnævnte bestemmelses direkte virkning, som ikke er blevet rejst i hovedsagen.
137. For så vidt angår det antal tilsynsmyndigheder, der skal oprettes i henhold til databeskyttelsesforordningens artikel 51, stk. 1, må det institutionelle valg, der på dette område er overladt til medlemsstaterne, ikke føre til en begrænsning af de beføjelser, der tilkommer den eneste myndighed, som den østrigske lovgiver har oprettet. Den modsatte fortolkning vil indebære, at databeskyttelsesforordningens artikel 55, stk. 1, og artikel 77, stk. 1, mister deres direkte virkning, og risikere at svække den effektive virkning af alle andre bestemmelser i denne forordning, der kan have betydning for en klage.
138. Med hensyn til de forfatningsmæssige hindringer, der foreligger i østrigsk ret, kan disse ikke resultere i, at det nægtes at anvende databeskyttelsesforordningens bestemmelser. Ifølge Domstolens faste praksis påvirkes en EU-retsakts virkning ikke af, at det gøres gældende, at den krænker grundsætningerne i en national forfatningsstruktur (43).
139. Jeg foreslår derfor, at Domstolen som svar på det tredje præjudicielle spørgsmål fastslår, at såfremt en medlemsstat kun har oprettet en enkelt tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 51, stk. 1, følger dennes kompetence til at behandle klager som omhandlet i denne forordnings artikel 77, stk. 1, direkte af den sidstnævnte bestemmelse, sammenholdt med den nævnte forordnings artikel 55, stk. 1.
Forslag til afgørelse
140. Henset til samtlige ovenfor anførte betragtninger foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål, som Verwaltungsgerichtshof (forvaltningsdomstol, Østrig) har forelagt, således:
»1) Aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, er omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF, således at Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) finder anvendelse på en sådan kommissions behandling af personoplysninger.
2) Aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, og hvis genstand er undersøgelse af en politimæssig efterretningstjenestes aktiviteter, og dermed aktiviteter vedrørende statens sikkerhed som omhandlet i 16. betragtning til forordning 2016/679, er ikke omfattet af undtagelsen i denne forordnings artikel 2, stk. 2, litra a).
3) Såfremt en medlemsstat kun har oprettet en enkelt tilsynsmyndighed i henhold til artikel 51, stk. 1, i forordning 2016/679, følger dennes kompetence til at behandle klager som omhandlet i denne forordnings artikel 77, stk. 1, direkte af den sidstnævnte bestemmelse, sammenholdt med den nævnte forordnings artikel 55, stk. 1.«