Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 62014CJ0362

Domstolens dom (Store Afdeling) af 6. oktober 2015.
Maximillian Schrems mod Data Protection Commissioner.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – direktiv 95/46/EF – artikel 25 og 28 – videregivelse af personoplysninger til tredjelande – beslutning 2000/520/EF – videregivelse af personoplysninger til USA – utilstrækkeligt beskyttelsesniveau – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA – de nationale tilsynsmyndigheders beføjelser.
Sag C-362/14.

Digital reports (Court Reports - general)

ECLI identifier: ECLI:EU:C:2015:650

DOMSTOLENS DOM (Store Afdeling)

6. oktober 2015 ( * )

»Præjudiciel forelæggelse — personoplysninger — beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger — Den Europæiske Unions charter om grundlæggende rettigheder — artikel 7, 8 og 47 — direktiv 95/46/EF — artikel 25 og 28 — videregivelse af personoplysninger til tredjelande — beslutning 2000/520/EF — videregivelse af personoplysninger til USA — utilstrækkeligt beskyttelsesniveau — gyldighed — klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA — de nationale tilsynsmyndigheders beføjelser«

I sag C-362/14,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af High Court (Irland) ved afgørelse af 17. juli 2014, indgået til Domstolen den 25. juli 2014, i sagen:

Maximillian Schrems

mod

Data Protection Commissioner,

procesdeltager:

Digital Rights Ireland Ltd,

har

DOMSTOLEN (Store Afdeling)

sammensat af præsidenten, V. Skouris, vicepræsidenten, K. Lenaerts, afdelingsformændene A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (refererende dommer), S. Rodin og K. Jürimäe samt dommerne A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen og C. Lycourgos,

generaladvokat: Y. Bot

justitssekretær: ekspeditionssekretær L. Hewlett,

på grundlag af den skriftlige forhandling og efter retsmødet den 24. marts 2015,

efter at der er afgivet indlæg af:

Maximillian Schrems ved N. Travers, SC, P. O’Shea, BL, solicitor G. Rudden og Rechtsanwalt H. Hofmann

Data Protection Commissioner ved P. McDermott, BL, og solicitors S. More-O’Ferrall og D. Young

Digital Rights Ireland Ltd ved F. Crehan, BL, og solicitors S. McGarr og E. McGarr

Irland ved A. Joyce, B. Counihan og E. Creedon, som befuldmægtigede, bistået af D. Fennelly, BL

den belgiske regering ved J.-C. Halleux og C. Pochet, som befuldmægtigede

den tjekkiske regering ved M. Smolek og J. Vláčil, som befuldmægtigede

den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato P. Gentili

den østrigske regering ved G. Hesse og G. Kunnert, som befuldmægtigede

den polske regering ved M. Kamejsza, M. Pawlicka og B. Majczyna, som befuldmægtigede

den slovenske regering ved A. Grum og V. Klemenc, som befuldmægtigede

Det Forenede Kongeriges regering ved L. Christie og J. Beeko, som befuldmægtigede, bistået af barrister J. Holmes

Europa-Parlamentet ved D. Moore, A. Caiola og M. Pencheva, som befuldmægtigede

Europa-Kommissionen ved B. Schima, B. Martenczuk, B. Smulders og J. Vondung, som befuldmægtigede

Den europæiske tilsynsførende for databeskyttelse (EDPS) ved C. Docksey, A. Buchta og V. Pérez Asinari, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 23. september 2015,

afsagt følgende

Dom

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 25, stk. 6, og artikel 28 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31), som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003 (EUT L 284, s. 1, herefter »direktiv 95/46«), i lyset af artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), samt i det væsentlige gyldigheden af Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (EFT L 215, s. 7, og berigtiget i EFT L 2001, s. 14, herefter »beslutning 2000/520«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Maximillian Schrems og Data Protection Commissioner (kommissæren for databeskyttelse, herefter »Commissioner«) vedrørende sidstnævntes afslag på at behandle en klage, der blev indgivet af Maximillian Schrems som følge af, at Facebook Ireland Ltd (herefter »Facebook Ireland«) videregiver sine brugeres personoplysninger til USA og opbevarer dem på servere beliggende i dette land.

Retsforskrifter

Direktiv 95/46

3

2., 10., 56., 57., 60., 62. og 63. betragtning til direktiv 95/46 har følgende ordlyd:

»(2)

[D]atabehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre […] det enkelte menneskes velfærd.

[…]

(10)

[M]edlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950,] og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet.

[…]

(56)

[S]trømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel; den beskyttelse, der ved dette direktiv garanteres personer inden for Fællesskabet, er ikke til hinder for, at der videregives personoplysninger til tredjelande, for så vidt disse sikrer et tilstrækkeligt beskyttelsesniveau; vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal foretages på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger.

(57)

[H]vis et tredjeland derimod ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes.

[…]

(60)

[V]ideregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv, særlig artikel 8.

[…]

(62)

[O]prettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

(63)

[D]enne myndighed skal tildeles de fornødne beføjelser til at varetage denne opgave, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager, samt beføjelse til at indbringe sager for en retsinstans; […]«

4

Artikel 1, 2, 25, 26, 28 og 31 i direktiv 95/46 fastsætter:

»Artikel 1

Direktivets formål

1.   Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

[…]

Artikel 2

Definitioner

I dette direktiv forstås ved:

a)

»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b)

»behandling af personoplysninger« (»behandling«): enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

[…]

d)

»den registeransvarlige«: den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i fællesskabsretten

[…]

Artikel 25

Principper

1.   Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2.   Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.

3.   Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.

4.   Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.

5.   Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.

6.   Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

Artikel 26

Undtagelser

1.   Som undtagelse fra bestemmelserne i artikel 25 fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, kan finde sted, hvis

a)

der ikke hersker tvivl om, at den registrerede har givet sit samtykke

eller

b)

videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt

eller

c)

videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand

eller

d)

videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares

eller

e)

videregivelsen er nødvendig for at beskytte den registreredes vitale interesser

eller

f)

videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.

2.   Med forbehold af stk. 1 kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.

3.   Den pågældende medlemsstat underretter Kommissionen og de øvrige medlemsstater om de tilladelser, den giver i henhold til stk. 2.

Rejses der indsigelse herimod fra en anden medlemsstat eller Kommissionen, og er denne berettiget ud fra hensynet til beskyttelse af privatlivets fred eller personers grundlæggende rettigheder og frihedsrettigheder, vedtager Kommissionen passende foranstaltninger efter proceduren i artikel 31, stk. 2.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

[…]

Artikel 28

Tilsynsmyndighed

1.   Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

2.   Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

3.   Hver tilsynsmyndighed skal bl.a. kunne:

iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4.   Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.

[…]

6.   Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

[…]

Artikel 31

[…]

2.   Når der henvises til denne artikel, anvendes artikel 4 og 7 i [Rådets] afgørelse 1999/468/EF [af 28. juni 1999 om fastsættelse af de nærmere vilkår for udøvelsen af de gennemførelsesbeføjelser, der tillægges Kommissionen], jf. dennes artikel 8.

[…]«

Beslutning 2000/520

5

Kommissionen har vedtaget beslutning 2000/520 på grundlag af artikel 25, stk. 6, i direktiv 95/46.

6

Anden, femte og ottende betragtning til denne beslutning har følgende ordlyd:

»(2)

Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan der overføres personoplysninger fra medlemsstaterne, uden at det er nødvendigt, at der stilles yderligere garantier.

[…]

(5)

Det burde være muligt at opnå det beskyttelsesniveau for overførslen af oplysninger fra EF til USA, der anses for tilstrækkeligt, og som godkendes ved denne beslutning, hvis foretagenderne overholder safe harbor-principperne for beskyttelse af personoplysninger, der overføres fra en medlemsstat til USA (i det følgende benævnt »principperne«), og de hyppige spørgsmål (i det efterfølgende benævnt »FAQ«), der giver vejledning i anvendelsen af disse principper, og som den amerikanske regering udstedte den 21. juli 2000. Disse foretagender skal desuden offentliggøre deres foranstaltninger til beskyttelse af privatlivets fred og være underlagt Federal Trade Commissions (FTC) kompetence i henhold til paragraf 5 i Federal Trade Commission Act om forbud mod illoyal og vildledende adfærd eller praksis i forbindelse med handel eller være underlagt ethvert andet ved lov etableret organ, der kan sikre overholdelse af principperne, som gennemføres i overensstemmelse med FAQ.

[…]

(8)

Af hensyn til princippet om gennemsigtighed og for at beskytte de kompetente myndigheders muligheder for i medlemsstaterne at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger bør det i beslutningen specificeres, under hvilke særlige omstændigheder det er muligt at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt.«

7

Artikel 1-4 i beslutning 2000/520 er sålydende:

»Artikel 1

1.   Med henblik på artikel 25, stk. 2, i direktiv 95/46/EF og for så vidt angår alle de aktiviteter, der er omfattet af direktivet, formodes safe harbor-principperne (i det følgende benævnt »principperne«) som omhandlet i bilag I til denne beslutning, der finder anvendelse i overensstemmelse med de normgivende hyppige spørgsmål (i det følgende benævnt »FAQ«), som blev udstedt den 21. juli 2000 af det amerikanske handelsministerium og er vedlagt som bilag II til denne beslutning, at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EF til i USA etablerede foretagender, i betragtning af følgende dokumenter fra USA’s handelsministerium:

a)

oversigt over håndhævelsen af safe harbor-principperne, bilag III

b)

memorandum om erstatning for krænkelse af privatlivets fred og udtrykkelige tilladelser i USA’s lovgivning, bilag IV

c)

brev fra Federal Trade Commission, bilag V

d)

brev fra det amerikanske transportministerium, bilag VI.

2.   I forbindelse med overførsel af personoplysninger skal følgende betingelser opfyldes:

a)

[F]oretagendet, der modtager oplysningerne, skal utvetydigt og offentligt have angivet, at det forpligter sig til at overholde principperne, der anvendes i overensstemmelse med FAQ.

b)

[F]oretagendet skal være underlagt et af de i bilag VII til denne beslutning anførte amerikanske regeringsorganers lovbestemte beføjelser til at behandle klager og udstede forbud eller påbud i forbindelse med illoyal eller vildledende praksis og opnå, at en retstilstand genoprettes for fysiske personer, uden hensyn til nationalitet eller bopælsland, i tilfælde af manglende overholdelse af principperne, der gennemføres i overensstemmelse med FAQ.

3.   Et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, formodes at opfylde de i stk. 2 anførte betingelser fra den dato, hvor det meddeler det amerikanske handelsministerium (eller dets repræsentant), at det offentligt har forpligtet sig i henhold til stk. 2, litra a), og opgiver navnet på det i stk. 2, litra b), anførte regeringsorgan.

Artikel 2

Denne beslutning vedrører kun tilstrækkeligheden af den beskyttelse, der opnås i USA i kraft af principperne, der gennemføres i overensstemmelse med FAQ, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og den har ingen indvirkning på gennemførelsen af de andre bestemmelser i direktivet, som vedrører behandlingen af personoplysninger i medlemsstaterne, navnlig artikel 4.

Artikel 3

1.   De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at suspendere overførslen af oplysninger til et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger:

a)

når det amerikanske regeringsorgan, som anført i bilag VII til denne beslutning, eller en uvildig klageinstans, som anført i a) under princippet om håndhævelse som anført i bilag I til denne beslutning, fastslår, at det pågældende foretagende overtræder principperne, der gennemføres i overensstemmelse med FAQ, eller

b)

når der er stor sandsynlighed for, at principperne overtrædes, når der er tilstrækkelig grund til at antage, at det pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på betydelig vis at skade de registrerede, og når de kompetente myndigheder i medlemsstaterne forholdene taget i betragtning på passende vis har bestræbt sig på at underrette det pågældende foretagende og give det mulighed for at svare.

Suspenderingen skal straks ophøre, når principperne, der gennemføres i overensstemmelse med FAQ, igen overholdes, og når den kompetente myndighed i EU er blevet underrettet derom.

2.   Medlemsstaterne skal straks underrette Kommissionen, når der træffes foranstaltninger i medfør af stk. 1.

3.   Medlemsstaterne og Kommissionen skal ligeledes underrette hinanden om tilfælde, hvor de organer, som er ansvarlige for håndhævelsen af de principper, der gennemføres i overensstemmelse med FAQ i USA, ikke er i stand til at sikre, at principperne overholdes.

4.   Hvis det fremgår af de oplysninger, der skal udveksles i henhold til stk. 1, 2 og 3, at et organ, der er ansvarlig for håndhævelse af principperne, der gennemføres i overensstemmelse med FAQ i USA, ikke opfylder sin rolle effektivt, skal Kommissionen underrette det amerikanske handelsministerium og, hvis det er nødvendigt, forelægge et udkast til foranstaltninger i overensstemmelse med den i artikel 31 i direktiv 95/46/EF fastsatte procedure med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde.

Artikel 4

1.   Denne beslutning kan til enhver tid blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse og/eller hvis der i den amerikanske lovgivning stilles krav om samme beskyttelsesniveau som det, der opnås ved hjælp af principperne og FAQ. Kommissionen skal under alle omstændigheder evaluere gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at den pågældende medlemsstat har fået meddelelse derom, og rapportere om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg, herunder om ethvert forhold, der kan påvirke den i artikel 1 i nærværende beslutning anførte vurdering, hvor bestemmelserne vurderes som værende i stand til at tilvejebringe en tilstrækkelig beskyttelse i henhold til artikel 25 i direktiv 95/46/EF, samt om ethvert forhold, hvoraf det fremgår, at beslutningen gennemføres på en diskriminerende måde.

2.   Kommissionen skal, hvis det er nødvendigt, fremlægge forslag til foranstaltninger i henhold til proceduren i artikel 31 i direktiv 95/46/EF.«

8

Bilag I til beslutning 2000/520 har følgende ordlyd:

»Safe harbor-principper

udstedt af Amerikas Forenede Staters handelsministerium den 21. juli 2000

[…]

[…] [D]et amerikanske handelsministerium [har] i medfør af sine lovbestemte beføjelser udstedt dette dokument og de hyppige spørgsmål (FAQ) (principperne) med henblik på at fremme og udvikle den internationale handel. Principperne er udviklet i samarbejde med industrien og offentligheden for at fremme hand[e]len mellem USA og EU. De er udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om »tilstrækkelighed«, dette medfører. Principperne er udelukkende udformet med henblik på disse specifikke formål og kan derfor ikke uden videre anvendes til andre formål. […]

Et foretagende kan frit vælge, om det vil tilslutte sig safe harbor-ordningen, og der findes forskellige måder, hvorpå et foretagende kan kvalificere sig til at deltage i denne ordning. […]

Overholdelsen af disse principper kan være begrænset a) til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden, b) af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme, eller c) i det omfang, direktivet eller medlemsstaternes lovgivning tillader undtagelser eller dispensationer, såfremt sådanne undtagelser eller dispensationer også finder anvendelse i sammenlignelig kontekst. I overensstemmelse med det overordnede mål om at fremme beskyttelsen af privatlivets fred bør foretagenderne bestræbe sig på at gennemføre disse principper på fuldstændig og gennemskuelig vis, hvilket omfatter, at de i deres program til beskyttelse af privatlivets fred angiver, på hvilke punkter eventuelle undtagelser fra principperne i henhold til ovenstående punkt b) finder generel anvendelse. Når principperne og/eller den amerikanske lovgivning giver mulighed derfor, forventes foretagenderne af samme årsag at vælge et højere beskyttelsesniveau.

[…]«

9

Bilag II til beslutning 2000/520 har følgende ordlyd:

»Hyppige spørgsmål (FAQ)

[…]

FAQ nr. 6 – Selvcertificering

Spørgsmål:

Hvorledes skal et foretagende selvcertificere, at det tilslutter sig safe harbor-principperne?

Svar:

Et foretagende kan drage fordel af safe harbor-ordningen allerede fra det tidspunkt, hvor det over for det amerikanske handelsministerium eller dets repræsentant i henhold til nedenstående vejledning foretager selvcertificering om tilslutning til principperne.

Et foretagende kan foretage selvcertificering om tilslutning til safe harbor-ordningen ved et fremsende en skrivelse til det amerikanske handelsministerium (eller dets repræsentant). Denne skrivelse skal underskrives af en ledende medarbejder på vegne af det foretagende, der tilslutter sig safe harbor-ordningen, og mindst indeholde følgende oplysninger:

1)

foretagendets navn, postadresse, e-post-adresse, telefon- og faxnumre

2)

en beskrivelse af foretagendets aktiviteter, der vedrører personoplysninger, som modtages fra EU, og

3)

en beskrivelse af foretagendets program til beskyttelse af privatlivets fred med hensyn til disse personoplysninger, herunder: a) hvor dette program stilles til rådighed for offentligheden, b) datoen for iværksættelse af dette program, c) en kontaktadresse for behandlingen af eventuelle klager, anmodninger om indsigt og andre anliggender i forbindelse med safe harbor-ordningen, d) det specifikke lovbestemte organ, der har kompetence til at behandle klager over foretagender på grund af illoyal eller vildledende praksis, eller hvis de overtræder de gældende love eller bestemmelser vedrørende beskyttelse af privatlivets fred (og som er anført på listen i bilaget til principperne), e) betegnelsen på enhver ordning til beskyttelse af privatlivets fred, som foretagendet deltager i, f) den pågældende kontrolmetode (f.eks. intern kontrol, tredjemandskontrol) […], og g) eventuelle uvildige klageinstanser, der kan behandle uløste sager.

Hvis et foretagende ønsker, at fordelene ved safe harbor-ordningen også skal dække oplysninger om menneskelige ressourcer, der overføres fra EU til brug inden for rammerne af et ansættelsesforhold, kan det foretage sådanne overførsler, hvis der findes et lovbestemt organ, der har kompetence til at behandle klager over det pågældende foretagende vedrørende oplysninger om menneskelige ressourcer, og som er anført på listen i bilaget til principperne. […]

Det amerikanske handelsministerium (eller dets repræsentant) vil føre en liste over de foretagender, der har fremsendt sådanne skrivelser, hvorved de sikres fordelene ved safe harbor-ordningen, og det vil ajourføre denne liste på grundlag af de årlige skrivelser og meddelelser, der modtages i overensstemmelse med FAQ nr. 11. […]

[…]

FAQ nr. 11 – Bilæggelse af tvister og håndhævelse

Spørgsmål:

Hvorledes skal de krav til bilæggelse af tvister, der er fastsat i princippet om håndhævelse, gennemføres, og hvorledes skal et foretagendes vedvarende overtrædelse af principperne håndteres?

Svar:

Kravene til håndhævelse af safe harbor-ordningen fastsættes i princippet om håndhævelse. Det fastsættes i FAQ nr. 7 om kontrol, hvorledes kravene i princippets punkt b) skal overholdes. FAQ nr. 11 omhandler punkt a) og c), der begge kræver uafhængige klageinstanser. Ordningen kan håndhæves ved hjælp af forskellige mekanismer, der dog alle skal være i overensstemmelse med kravene i princippet om håndhævelse. Et foretagende kan opfylde kravene 1) ved at overholde et program til beskyttelse af privatlivets fred, som er udviklet inden for den private sektor, som tager udgangspunkt i safe harbor-principperne, og som omfatter nogle effektive håndhævelsesmekanismer af den type, der er beskrevet i princippet om håndhævelse, 2) ved at være underlagt tilsynsmyndigheder, der er oprettet ved lov eller administrativt, og som varetager behandlingen af individuelle klager og bilæggelsen af tvister, eller 3) ved at forpligte sig til at samarbejde med databeskyttelsesmyndighederne i EU eller deres repræsentanter. Denne liste er blot beskrivende og ikke udtømmende, eftersom der i den private sektor kan oprettes andre håndhævelsesmekanismer, når blot kravene i princippet om håndhævelse og FAQ overholdes. Bemærk venligst, at kravene i princippet om håndhævelse supplerer kravene i tredje afsnit i princippernes indledning, nemlig at et foretagende i tilfælde af selvregulering skal kunne retsforfølges efter paragraf 5 i Federal Commission Act eller en anden lignende lov.

Klageinstanser:

Forbrugerne skal opfordres til først at klage til det pågældende foretagende, inden de indbringer deres klage til de uvildige klageinstanser. […]

[…]

Søgsmål ved Federal Trade Commission (FTC):

FTC har forpligtet sig til først og fremmest at behandle sager om påstået overtrædelse af safe harbor-principperne, som den får henvist fra selvreguleringsforetagender med kompetence inden for beskyttelse af privatlivets fred, f.eks. BBBOnline og TRUSTe, eller EU-medlemsstaterne, for at fastslå, om paragraf 5 i Federal Trade Commission Act, der forbyder illoyal eller vildledende praksis inden for handel, er blevet overtrådt. […]

[…]«

10

Bilag IV til beslutning 2000/520 er sålydende:

»Beskyttelse af privatlivets fred og erstatningsansvar, lovbestemte tilladelser samt fusioner og overtagelser i den amerikanske lovgivning

Dette dokument er udarbejdet med henblik på over for Europa-Kommissionen at redegøre for den amerikanske lovgivning vedrørende a) erstatningskrav for krænkelse af privatlivets fred, b) »udtrykkelige tilladelser« (explicit authorizations) i den amerikanske lovgivning til anvendelse af personoplysninger på en måde, der er i uoverensstemmelse med safe harbor-principperne, og c) konsekvensen af fusioner og overtagelser for de forpligtelser, der indgås inden for rammerne af safe harbor-ordningen.

[…]

B. Udtrykkelige lovbestemte tilladelser

Safe harbor-principperne indeholder en undtagelse i det tilfælde, hvor love, administrative bestemmelser eller retspraksis »medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«. De amerikanske foretagender skal uanset deres deltagelse i safe harbor-ordningen helt klart overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser. Mens safe harbor-principperne har til formål at kæde det amerikanske og det europæiske system for beskyttelse af privatlivets fred sammen, skal vi med hensyn til de udtrykkelige tilladelser tage hensyn til vores folkevalgte lovgiveres prærogativer. Denne meget begrænsede undtagelse fra en streng overholdelse af safe harbor-principperne har til formål at tilgodese begge parters legitime interesser.

Undtagelsen er begrænset til tilfælde, hvor der foreligger en udtrykkelig tilladelse (explicit authorization). Den pågældende lov, administrative bestemmelse eller domstolsafgørelse skal derfor først og fremmest udtrykkeligt tillade safe harbor-foretagendernes adfærd […]. Undtagelsen vil med andre ord ikke finde anvendelse, når der ikke udtrykkeligt står noget i loven. Undtagelsen finder desuden kun anvendelse, hvis den udtrykkelige tilladelse er i konflikt med safe harbor-principperne. Selv i disse tilfælde er undtagelsen begrænset til »det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«. I tilfælde af en generel lovbestemmelse, der giver et foretagende mulighed for at give personoplysninger til offentlige myndigheder, vil undtagelsen eksempelvis ikke finde anvendelse. Når loven til gengæld giver et foretagende specifik tilladelse til at give personoplysninger videre til offentlige myndigheder uden den registreredes tilladelse, er der tale om en »udtrykkelig tilladelse« til at handle på en måde, der er i strid med safe harbor-principperne. Alternativt vil specifikke undtagelser fra udtrykkelige krav om oplysningspligt og samtykke være omfattet af undtagelsen (eftersom det ville være at sidestille med en specifik tilladelse til at videregive oplysningerne uden principperne om oplysningspligt om samtykke). En lovbestemmelse, der giver læger tilladelse til at give deres patienters journal videre til sundhedsmyndighederne uden patienternes forudgående tilladelse, vil f.eks. medføre en undtagelse fra principperne om oplysningspligt (notice) og valgfrihed (choice). Denne tilladelse giver ikke læger mulighed for at videregive samme helbredsoplysninger til sundhedsorganisationer eller kommercielle farmaceutiske forskningslaboratorier, hvilket ville falde uden for lovens formål og således uden for undtagelsens rækkevidde […]. Det retlige grundlag kan være en enkeltstående (stand alone) tilladelse til at foretage specifikke handlinger med personoplysninger, men som eksemplerne viser, vil det sandsynligvis være en undtagelse fra en mere generel lov, der forbyder indsamling, anvendelse eller videregivelse af personoplysninger.

[…]«

Meddelelse KOM(2013) 846 endelig

11

Den 27.november 2013 vedtog Kommissionen meddelelsen til Europa-Parlamentet og Rådet med overskriften »Genopbygning af tilliden til datastrømmene mellem EU og USA« (KOM(2013) 846 endelig, herefter »meddelelse KOM(2013) 846 endelig«). Meddelelsen var ledsaget af en rapport, der ligeledes er fra den 27. november 2013, og som indeholder »konklusionerne fra EU’s medformænd for EU’s og USA’s ad hoc-arbejdsgruppe vedrørende beskyttelse af personoplysninger« (»Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection«). Rapporten var som anført i dennes punkt 1 blevet udfærdiget i samarbejde med USA efter afsløringen af, at der i dette land fandtes flere overvågningsprogrammer, herunder omfattende indsamling og behandling af personoplysninger. Rapporten indeholdt bl.a. en detaljeret analyse af USA’s retsorden vedrørende navnlig det retsgrundlag, hvorefter det var tilladt for de amerikanske myndigheder at have overvågningsprogrammer og indsamle og behandle personoplysninger.

12

Kommissionen præciserede i punkt 1 i meddelelse KOM(2013) 846 endelig, at »[s]amhandelen er omfattet af […] beslutning 2000/520[…]«, og tilføjede at »[b]eslutningen er retsgrundlag for overførsler af personoplysninger fra EU til virksomheder i USA, som har tilsluttet sig safe harbor-principperne«. Kommissionen fremhævede desuden i samme punkt 1 den betydelige stigning i strømmen af personoplysninger, der bl.a. er knyttet til den digitale økonomis udvikling, idet denne har »medført eksponentiel vækst i databehandlingsaktiviteterne, både hvad angår kvantitet, kvalitet, diversitet og art«.

13

Kommissionen anførte i denne meddelelses punkt 2, at »der [er] stigende bekymring over beskyttelsesniveauet for [unions]borgeres personoplysninger, der overføres til USA under safe harbor-ordningen«, og at »[o]rdningens frivillige og deklaratoriske karakter […] i stigende grad [har] rejst spørgsmålet om dens gennemsigtighed og håndhævelse«.

14

Kommissionen anførte desuden i samme punkt 2, at »[d]e amerikanske myndigheder kan skaffe sig adgang til og behandle [unions]borgeres personoplysninger, der overføres til USA under safe harbor, på en måde, som er uforenelig med det grundlag, på hvilket oplysningerne oprindeligt blev indsamlet i [Unionen], og med det formål, til hvilket de blev overført til USA«, og at »[f]lertallet af de amerikanske internetvirksomheder, der synes at være direkte berørt af [overvågningsprogrammerne], er certificeret under safe harbor-ordningen«.

15

Kommissionen anførte i punkt 3.2 i meddelelse KOM(2013) 846 endelig, at der foreligger et vist antal svagheder for så vidt angår gennemførelsen af direktiv 2000/520. Kommissionen gav heri for det første udtryk for, at certificerede amerikanske virksomheder ikke overholdt de i artikel 1, stk. 1, i beslutning 2000/520 omhandlede principper (herefter »safe harbor-principperne«), og at denne beslutning skulle forbedres for så vidt angår »de strukturelle brister og med hensyn til gennemsigtighed og håndhævelse, de materielle safe harbor-principper og den måde, undtagelsesbestemmelsen vedrørende national sikkerhed fungerer på«. Kommissionen gjorde for det andet opmærksom på, at »[s]afe harbor [også] kommer […] til at virke som en kanal, hvorigennem virksomheder, der i henhold til de amerikanske programmer for indsamling af efterretninger skal udlevere data til amerikanske efterretningstjenester, overfører personoplysninger om EU-borgere fra [Unionen] til USA«.

16

Kommissionen konkluderede i samme punkt 3.2, at »[i] betragtning af de svagheder, der er blevet påpeget, er fastholdelse af den nuværende gennemførelse af safe harbor urealistisk[; h]vis beslutningen blev ophævet, ville det imidlertid indvirke negativt på de virksomheder i [Unionen] og USA, der er tilmeldt ordningen«. Endelig tilføjede Kommissionen, ligeledes i nævnte punkt 3.2, at »[d]et har høj prioritet for Kommissionen hurtigt at rette henvendelse til de amerikanske myndigheder med henblik på at drøfte de brister, der har kunnet konstateres«.

Meddelelse KOM(2013) 847 endelig

17

Samme dag, den 27. november 2013, vedtog Kommissionen meddelelsen til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (KOM(2013) 847 endelig, herefter »meddelelse KOM(2013) 847 endelig«). Meddelelsen var, som det fremgår af dens punkt 1, bl.a. baseret på de oplysninger, som var blevet fremlagt i EU-USA-ad hoc-arbejdsgruppen, og fulgte efter Kommissionens to vurderingsrapporter, der blev offentliggjort i henholdsvis 2002 og 2004.

18

Det fremgår af denne meddelelses punkt 1, at beslutning 2000/520 »hviler på forpligtelser og selvcertificering fra de deltagende virksomheders side«, og det bliver heri tilføjet, at »[d]et er frivilligt at tilslutte sig denne ordning, men [at] reglerne er bindende for dem, der har tilsluttet sig«.

19

Det fremgår desuden af punkt 2.2 i meddelelse KOM(2013) 847 endelig, at den 26. september 2013 var 3246 virksomheder fra adskillige økonomi- og tjenesteydelsessektorer certificeret. Disse virksomheder leverede hovedsageligt tjenesteydelser i EU’s indre marked, navnlig i internetsektoren, og en del af disse var EU-virksomheder med datterselskaber i USA. Visse af disse virksomheder behandlede oplysninger om deres ansatte i Europa, som blev overført til USA med henblik på forvaltningen af menneskelige ressourcer.

20

Kommissionen har i samme punkt 2.2 fremhævet, at »[e]thvert hul i gennemsigtigheden eller håndhævelsen på den amerikanske side medfør[te], at ansvaret overg[ik] til de europæiske databeskyttelsesmyndigheder og til de virksomheder, der brug[te] ordningen«.

21

Det fremgår bl.a. af punkt 3-5 og 8 i meddelelse KOM(2013) 847 endelig, at der i praksis var et stort antal certificerede virksomheder, der ikke, eller ikke til fulde, overholdt safe harbor-principperne.

22

Kommissionen anførte endvidere i samme meddelelses punkt 7, at »det [ser] ud til, at alle virksomheder, der er involveret i PRISM-programmet [(Planning Tool for Resource Integration, Synchronization, and Management-programmet)], og som giver de amerikanske myndigheder adgang til oplysninger, der lagres og behandles i USA, er safe harbor-certificerede«, og at dette »har gjort safe harbor-ordningen til en af de kanaler, hvorigennem de amerikanske efterretningsmyndigheder får adgang til at indsamle personoplysninger, der oprindelig blev behandlet i [Unionen]«. I denne henseende konstaterede Kommissionen i den nævnte meddelelses punkt 7.1, at »en række retsgrundlag i amerikansk ret [tillader] storstilet indsamling og behandling af personoplysninger, der lagres eller på anden måde behandles af virksomheder i USA«, og at »[f]ordi disse programmer er så omfattende, kan det medføre, at de amerikanske myndigheder får adgang til og viderebehandler oplysninger, der er overført under safe harbor-ordningen, ud over hvad der er strengt nødvendigt og proportionalt i forhold til beskyttelsen af statens sikkerhed, jf. undtagelsen i [beslutning 2000/520]«.

23

Kommissionen fremhævede i punkt 7.2 i meddelelse KOM(2013) 847 endelig med overskriften »Begrænsninger og klagemuligheder«, at »de sikkerhedsforanstaltninger, som findes i henhold til amerikansk ret, for det meste [gælder] for amerikanske statsborgere eller personer med lovligt ophold«, og at »hverken registrerede i [Unionen] eller i USA [desuden har] mulighed for at opnå indsigt i eller berigtigelse eller sletning af oplysninger eller administrativ eller retslig prøvelse med hensyn til den indsamling og viderebehandling af deres personoplysninger, der finder sted som led i de amerikanske overvågningsprogrammer«.

24

Det fremgår af punkt 8 i meddelelse KOM(2013) 847 endelig, at disse certificerede virksomheder omfattede »[w]ebvirksomheder som Google, Facebook, Microsoft, Apple og Yahoo«, og at disse havde »hundreder af millioner af kunder i Europa« og overførte personoplysninger til USA med henblik på behandling heraf.

25

Kommissionen konkluderede i samme punkt 8, at »efterretningstjenesternes omfattende adgang til oplysninger, som safe harbor-certificerede virksomheder har overført til USA, [rejser] yderligere alvorlige spørgsmål vedrørende kontinuiteten i europæernes databeskyttelsesrettigheder, når deres oplysninger overføres til USA«.

Tvisten i hovedsagen og de præjudicielle spørgsmål

26

Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008.

27

Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, er i forbindelse med sin registrering forpligtet til at indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for en behandling.

28

Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige anmodede denne om at udøve sine vedtægtsmæssige beføjelser ved at forbyde Facebook Ireland at videregive hans personoplysninger til USA. Han gjorde heri gældende, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Maximillian Schrems henviste i denne henseende til Edward Snowdens afsløringer om de amerikanske efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (herefter »NSA«).

29

Commissioner, der var af den opfattelse, at han ikke var forpligtet til at foretage en undersøgelse af de faktiske omstændigheder, som Maximillian Schrems havde gjort opmærksom på i sin klage, afviste denne som ugrundet. Commissioner fandt det nemlig ikke bevist, at NSA havde skaffet sig adgang til den berørtes personoplysninger. Commissioner tilføjede, at de klagepunkter, som Maximillian Schrems havde anført i klagen, ikke med føje kunne fremsættes, idet ethvert spørgsmål om, hvorvidt beskyttelsen af personoplysningerne var tilstrækkelig i USA, skulle afgøres i overensstemmelse med beslutning 2000/520, og idet Kommissionen i denne beslutning havde fastslået, at USA sikrer et tilstrækkeligt beskyttelsesniveau.

30

Maximillian Schrems har anlagt sag ved High Court (øverste retsinstans) til prøvelse af den i hovedsagen omhandlede afgørelse. High Court har efter at have gennemgået de af hovedparterne fremlagte præmisser fastslået, at den elektroniske overvågning og opfangning af personoplysninger overført fra Unionen til USA tjener nødvendige og ufravigelige mål i offentlighedens interesse. High Court har imidlertid tilføjet, at Edward Snowdens afsløringer har vist, at NSA og andre forbundsmyndigheder »er gået for vidt i en betydelig grad«.

31

Ifølge High Court har unionsborgerne ikke nogen effektiv høringsret. Overvågningen af efterretningstjenesternes handlinger sker på et hemmeligt og ikke-kontradiktorisk grundlag. Når personoplysningerne er blevet overført til USA, kan NSA og andre forbundsmyndigheder såsom Federal Bureau of Investigation (FBI) skaffe sig adgang til disse oplysninger i forbindelse med den udifferentierede overvågning og opfangning, som de praktiserer i stor skala.

32

High Court har fastslået, at irsk ret forbyder videregivelse af personoplysninger uden for det nationale område, med undtagelse af de tilfælde, hvor det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår privatlivet og de grundlæggende rettigheder og frihedsrettigheder. Betydningen af retten til respekt for privatlivet og til boligens ukrænkelighed, der er sikret ved den irske forfatning, kræver, at ethvert indgreb i disse rettigheder skal være forholdsmæssigt og finde sted i overensstemmelse med lovens krav.

33

Den udifferentierede og massive adgang til personoplysninger er imidlertid helt klart i strid med proportionalitetsprincippet og med de grundlæggende værdier, der er sikret ved den irske forfatning. For at opfangning af elektronisk datatrafik kan anses for at være i overensstemmelse med denne forfatning, skal der føres bevis for, at denne opfangelse er målrettet, at overvågningen af visse personer eller grupper af personer er objektivt begrundet i hensynet til national sikkerhed eller kriminalitetsbekæmpelse, og at der foreligger garantier, der er tilstrækkelige, og som kan verificeres. High Court er således af den opfattelse, at såfremt tvisten i hovedsagen udelukkende skal afgøres i henhold til irsk ret, vil det skulle fastslås, at henset til, at der foreligger alvorlig tvivl om, hvorvidt USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, skulle Commissioner have foretaget en undersøgelse af de faktiske omstændigheder, som Maximillian Schrems havde gjort opmærksom på i sin klage, og at det derfor var med urette, at Commissioner havde afvist klagen.

34

High Court har imidlertid anført, at denne sag vedrører EU-rettens gennemførelse som omhandlet i chartrets artikel 51, stk. 1, således at lovligheden af den i hovedsagen omhandlede afgørelse skal efterprøves i henhold til EU-retten. High Court er imidlertid af den opfattelse, at beslutning 2000/520 hverken opfylder kravene i chartrets artikel 7 og artikel 8 eller de krav, der følger af de principper, som Domstolen har beskrevet i dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238). Den ret til respekt for privatlivet, der sikres ved chartrets artikel 7 og ved de kerneværdier, som er fælles for medlemsstaternes traditioner, ville ikke have nogen rækkevidde, hvis det var tilladt for de offentlige myndigheder at få adgang til elektronisk kommunikation på et vilkårligt og generelt grundlag uden at komme med en objektiv begrundelse baseret på hensyn til den nationale sikkerhed eller forebyggelsen af kriminalitet, som specifikt er knyttet til de berørte personer, og uden at der stilles passende og verificerbare garantier for denne praksis.

35

High Court har desuden anført, at Maximillian Schrems i forbindelse med sit søgsmål i realiteten har rejst indsigelse mod lovligheden af den safe harbor-ordning, der er indført ved beslutning 2000/520, og som den i hovedsagen omhandlede afgørelse vedrører. Selv om Maximillian Schrems formelt således hverken har bestridt gyldigheden af direktiv 95/46 eller af beslutning 2000/520, er High Court derfor af den opfattelse, at spørgsmålet opstår, om Commissioner som følge af direktivets artikel 25, stk. 6, var bundet af den konstatering, som Kommissionen har foretaget i den nævnte beslutning, og hvorefter USA sikrer et tilstrækkeligt beskyttelsesniveau, eller om chartrets artikel 8 efter omstændighederne tillod Commissioner at se bort fra en sådan konstatering.

36

Det er på denne baggrund, at High Court har besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Er en uafhængig person – der ved lov er tillagt opgaven med administration og håndhævelse af databeskyttelseslovgivningen – ved vurderingen af en klage, der er blevet indgivet til den pågældende, over, at personoplysninger overføres til et tredjeland (i dette tilfælde USA), hvis lovgivning og praksis det påstås ikke indeholder tilstrækkelig beskyttelse for datasubjektet, fuldstændig bundet af konklusionen i en fællesskabsundersøgelse, hvori der konkluderes det modsatte, og som er indeholdt i beslutning 2000/520, henset til chartrets artikel 7, […] 8 og […] 47, og dette trods bestemmelserne i artikel 25, stk. 6, i direktiv 95/46?

2)

Eller alternativt kan og/eller skal den person, der varetager hvervet, foretage en egen undersøgelse af forholdet i lyset af den mellemliggende udvikling i de faktiske omstændigheder, der har fundet sted, siden Kommissionens beslutning blev offentliggjort?«

Om de præjudicielle spørgsmål

37

Med sine præjudicielle spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om og i hvilket omfang artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom beslutning 2000/520, hvorved Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direktivets artikel 28 kan behandle en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.

Om de nationale tilsynsmyndigheders beføjelser som omhandlet i artikel 28 i direktiv 95/46, når der foreligger en beslutning fra Kommissionen, som er vedtaget i henhold til direktivets artikel 25, stk. 6

38

Indledningsvis bemærkes, at bestemmelserne i direktiv 95/46, for så vidt som de omhandler behandling af personoplysninger, der kan krænke de grundlæggende frihedsrettigheder og navnlig retten til respekt for privatlivet, nødvendigvis skal fortolkes under hensyntagen til de grundlæggende rettigheder, som er sikret ved chartret (jf. domme Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 68, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 68, og Ryneš, C-212/13, EU:C:2014:2428, præmis 29).

39

Det fremgår af artikel 1 i direktiv 95/46 og af anden og tiende betragtning hertil, at direktivet ikke alene har til formål at sikre en effektiv og fuldstændig beskyttelse af fysiske personers frihedsrettigheder og grundlæggende rettigheder, herunder især den grundlæggende ret til respekt for privatlivet i forbindelse med behandling af personoplysninger, men også et højt beskyttelsesniveau af disse frihedsrettigheder og grundlæggende rettigheder. Betydningen af såvel den grundlæggende ret til respekt for privatlivet, der er sikret ved chartrets artikel 7, som den grundlæggende ret til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 8, er desuden fremhævet i Domstolens praksis (jf. domme Rijkeboer, C-553/07, EU:C:2009:293, præmis 47, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 53, og Google Spain og Google, C-131/12, EU:C:2014:317, præmis 53, 66 og 74 og den deri nævnte retspraksis).

40

Hvad angår de nationale tilsynsmyndigheders beføjelser i forbindelse med videregivelse af personoplysninger til tredjelande bemærkes, at artikel 28, stk. 1, i direktiv 95/46 pålægger medlemsstaterne at udpege en eller flere offentlige myndigheder, der i fuld uafhængighed skal påse overholdelsen af Unionens regler om beskyttelse af fysiske personer i forbindelse med behandling af sådanne oplysninger. Dette krav fremgår ligeledes af den primære EU-ret, bl.a. chartrets artikel 8, stk. 3, og artikel 16, stk. 2, TEUF (jf. i denne retning domme Kommissionen mod Østrig, C-614/10, EU:C:2012:631, præmis 36, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 47).

41

De nationale tilsynsmyndigheders uafhængighed har til formål at sikre et effektivt og pålideligt tilsyn med overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og skal fortolkes i lyset af dette formål. Tilsynsmyndighedernes uafhængighed er etableret med henblik på at styrke beskyttelsen af personer og organer, der måtte blive berørt af disse myndigheders afgørelser. Oprettelsen af uafhængige tilsynsmyndigheder i medlemsstaterne er derfor, som det ligeledes fremgår af 62. betragtning til direktiv 95/46, af afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger (jf. domme Kommissionen mod Tyskland, C-518/07, EU:C:2010:125, præmis 25, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 48 og den deri nævnte retspraksis).

42

For at sikre denne beskyttelse skal de nationale tilsynsmyndigheder bl.a. sikre en ligevægt mellem på den ene side overholdelsen af den grundlæggende ret til respekt for privatlivet og på den andens side de hensyn, der styrer den frie udveksling af personoplysninger (jf. i denne retning domme Kommissionen mod Tyskland, C-518/07, EU:C:2010:125, præmis 24, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 51).

43

Med henblik herpå råder disse myndigheder over en bred vifte af beføjelser, og disse beføjelser, der er opregnet på ikke-udtømmende vis i artikel 28, stk. 3, i direktiv 95/46, udgør lige så mange beføjelser, der er nødvendige til varetagelsen af deres opgaver, således som det er fremhævet i 63. betragtning til direktivet. De nævnte myndigheder er således bl.a. tillagt beføjelser til at iværksætte undersøgelser, såsom beføjelsen til at indsamle alle de oplysninger, der er nødvendige for at varetage deres tilsynsopgaver, beføjelser til at gribe effektivt ind, såsom beføjelsen til midlertidigt eller definitivt at forbyde en behandling af oplysninger, eller beføjelse til at indbringe sager for retsinstanserne.

44

Det fremgår ganske vist af artikel 28, stk. 1 og 6, i direktiv 95/46, at de nationale tilsynsmyndigheders beføjelser vedrører den behandling af personoplysninger, der foretages på den medlemsstats område, som disse myndigheder henhører under, således at de ikke råder over nogen beføjelser på grundlag af denne artikel 28 i forhold til den behandling af sådanne oplysninger, der foretages på et tredjelands område.

45

Den transaktion, der består i at overføre personoplysninger fra en medlemsstat til et tredjeland, udgør imidlertid som sådan en behandling af personoplysninger som omhandlet i artikel 2, litra b), i direktiv 95/46 (jf. i denne retning dom Parlamentet mod Rådet og Kommissionen, C-317/04 og C-318/04, EU:C:2006:346, præmis 56) foretaget på en medlemsstats område. Denne bestemmelse definerer således »behandling af personoplysninger« som »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for«, og indeholder som eksempel »videregivelse ved transmission, formidling eller enhver anden form for overladelse«.

46

Det fremgår nærmere af 60. betragtning til direktiv 95/46, at videregivelse af personoplysninger til tredjelande kun må finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv. I denne henseende er der ved nævnte direktivs kapitel IV, hvori direktivets artikel 25 og 26 er indeholdt, indført en ordning, der har til formål at sikre medlemsstaternes kontrol med videregivelse af personoplysninger til tredjelande. Denne ordning supplerer den almindelige ordning, som er indført ved direktivets kapitel II, der fastsætter de almindelige betingelser for lovligheden af behandling af personoplysninger (jf. i denne retning dom Lindqvist, C-101/01, EU:C:2003:596, præmis 63).

47

Da de nationale tilsynsmyndigheder i overensstemmelse med chartrets artikel 8, stk. 3, og artikel 28 i direktiv 95/46 har til opgave at påse overholdelsen af de EU-retlige regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, er hver af disse derfor blevet tillagt beføjelse til at undersøge, om en videregivelse af personoplysninger fra den medlemsstat, som myndigheden henhører under, til et tredjeland overholder de ved direktiv 95/46 fastsatte krav.

48

Samtidig med at det i 56. betragtning til direktiv 95/46 anerkendes, at videregivelsen af personoplysninger fra medlemsstaterne til tredjelande er nødvendig af hensyn til udbygningen af den internationale samhandel, opstiller direktivet i sin artikel 25, stk. 1, det princip, at en sådan videregivelse kun må finde sted, hvis disse tredjelande sikrer et tilstrækkeligt beskyttelsesniveau.

49

Det bliver desuden i 57. betragtning til nævnte direktiv præciseret, at videregivelse af personoplysninger til tredjelande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal forbydes.

50

Artikel 25 i direktiv 95/46 pålægger medlemsstaterne og Kommissionen en række forpligtelser med henblik på at kontrollere videregivelsen af personoplysninger til tredjelande i forhold til det beskyttelsesniveau, som disse oplysninger er genstand for i hvert af disse lande. Det fremgår bl.a. af denne artikel, at konstateringen af, hvorvidt et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, enten kan drages af medlemsstaterne eller af Kommissionen, således som generaladvokaten har anført i punkt 86 i forslaget til afgørelse.

51

Kommissionen kan på grundlag af artikel 25, stk. 6, i direktiv 95/46 vedtage en afgørelse, hvori det fastslås, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Adressaterne for en sådan afgørelse er i overensstemmelse med denne bestemmelses andet afsnit de medlemsstater, som skal træffe de foranstaltninger, der er nødvendige for at efterkomme afgørelsen. I medfør af artikel 288, stk. 4, TEUF er afgørelsen bindende for alle de medlemsstater, som den er rettet til, og den omfatter derfor også samtlige deres organer (jf. i denne retning domme Albako Margarinefabrik, 249/85, EU:C:1987:245, præmis 17, og Mediaset, C-69/13, EU:C:2014:71, præmis 23), for så vidt som den bevirker, at der gives tilladelse til videregivelse af personoplysninger fra medlemsstaterne til det af afgørelsen omfattede tredjeland.

52

Så længe Domstolen ikke har fastslået, at Kommissionens afgørelse er ugyldig, er det således korrekt, at medlemsstaterne og deres organer, herunder deres uafhængige tilsynsmyndigheder, ikke kan vedtage foranstaltninger, der er i strid med denne afgørelse, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i afgørelsen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Der gælder nemlig i princippet en formodning om, at EU-institutionernes retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse (dom Kommissionen mod Grækenland, C-475/01, EU:C:2004:585, præmis 18 og den deri nævnte retspraksis).

53

En afgørelse, som er vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, såsom beslutning 2000/520, kan imidlertid ikke forhindre de personer, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, i til de nationale tilsynsmyndigheder at indgive en anmodning – som omhandlet i direktivets artikel 28, stk. 4 – om beskyttelse af deres rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger. Tilsvarende kan en afgørelse af en sådan art, således som generaladvokaten bl.a. har anført i punkt 61, 93 og 116 i forslaget til afgørelse, hverken ophæve eller begrænse de beføjelser, der udtrykkeligt er tillagt de nationale tilsynsmyndigheder ved chartrets artikel 8, stk. 3, og ved direktivets artikel 28.

54

Det fremgår hverken af chartrets artikel 8, stk. 3, eller af artikel 28 i direktiv 95/46, at kontrollen med videregivelsen af personoplysninger til et tredjeland, der har været genstand for en afgørelse fra Kommissionen i henhold til direktivets artikel 25, stk. 6, er udelukket fra de nationale tilsynsmyndigheders kompetence.

55

Navnlig indeholder artikel 28, stk. 4, første afsnit, i direktiv 95/46, der fastsætter, at »[e]nhver kan indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger« til de nationale tilsynsmyndigheder, ikke nogen undtagelse i denne henseende for det tilfælde, at Kommissionen har vedtaget en afgørelse i henhold til direktivets artikel 25, stk. 6.

56

Det ville desuden være i strid med den ved direktiv 95/46 indførte ordning og med formålet med direktivets artikel 25 og 28, såfremt en afgørelse fra Kommissionen vedtaget på grundlag af direktivets artikel 25, stk. 6, bevirkede, at en national tilsynsmyndighed blev forhindret i at undersøge en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af den pågældendes personoplysninger, som er blevet eller kan blive videregivet fra en medlemsstat til et af afgørelsen omhandlet tredjeland.

57

Tværtimod finder artikel 28 i direktiv 95/46 i kraft af selve sin art anvendelse på enhver behandling af personoplysninger. Selv når der foreligger en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, skal de nationale tilsynsmyndigheder, for hvilke en person har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger vedrørende den pågældende, således i fuld uafhængighed kunne undersøge, om videregivelsen af disse oplysninger opfylder de ved direktivet fastsatte krav.

58

I modsat fald ville de personer, hvis personoplysninger er blevet eller kan blive videregivet til det pågældende tredjeland, blive berøvet deres ved chartrets artikel 8, stk. 1 og 3, sikrede ret til at indgive en anmodning til de nationale tilsynsmyndigheder med henblik på beskyttelse af deres grundlæggende rettigheder (jf. analogt dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 68).

59

En anmodning som omhandlet i artikel 28, stk. 4, i direktiv 95/46, hvorved en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, gør gældende, ligesom det er tilfældet i hovedsagen, at dette lands lovgivning og praksis – uanset det af Kommissionen fastslåede i en afgørelse vedtaget i henhold til direktivets artikel 25, stk. 6 – ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal forstås således, at den i det væsentlige vedrører denne afgørelses forenelighed med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder.

60

I denne henseende bemærkes, at det fremgår af Domstolens faste praksis, at Unionen er en retsunion, hvor enhver retsakt fra dens institutioner er undergivet kontrol med, at den er forenelig med bl.a. traktaterne, de generelle retsprincipper og de grundlæggende rettigheder (jf. i denne retning domme Kommissionen m.fl. mod Kadi, C-584/10 P, C-593/10 P og C-595/10 P, EU:C:2013:518, præmis 66, Inuit Tapiriit Kanatami m.fl. mod Parlamentet og Rådet, C-583/11 P, EU:C:2013:625, præmis 91, og Telefónica mod Kommissionen, C-274/12 P, EU:C:2013:852, præmis 56). De afgørelser, som Kommissionen vedtager i medfør af artikel 25, stk. 6, i direktiv 95/46, kan derfor ikke undslippe en sådan kontrol.

61

Når dette er sagt, er Domstolen enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, idet formålet med den eksklusive karakter af denne kompetence er at garantere retssikkerheden ved at sikre en ensartet anvendelse af EU-retten (jf. domme Melki og Abdeli, C-188/10 og C-189/10, EU:C:2010:363, præmis 54, og CIVAD, C-533/10, EU:C:2012:347, præmis 40).

62

Selv om de nationale domstole ganske vist har ret til at efterprøve gyldigheden af en EU-retsakt, såsom en afgørelse fra Kommissionen vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46, er de imidlertid ikke beføjet til selv at erklære en sådan retsakt ugyldig (jf. i denne retning domme Foto-Frost, 314/85, EU:C:1987:452, præmis 15-20, og IATA og ELFAA, C-344/04, EU:C:2006:10, præmis 27). Så meget desto mere gælder det, at de nationale tilsynsmyndigheder under behandlingen af en anmodning som omhandlet i direktivets artikel 28, stk. 4, vedrørende spørgsmålet, om en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, ikke har ret til selv at konstatere, at en sådan afgørelse er ugyldig.

63

Når en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, der har været genstand for en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, indgiver en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger til en national tilsynsmyndighed og i forbindelse med denne anmodning bestrider, således som det er tilfældet i hovedsagen, at afgørelsen er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, påhviler det – henset til disse betragtninger – denne myndighed at behandle anmodningen med den fornødne omhu.

64

For det tilfælde, at den nævnte myndighed når frem til den konklusion, at de forhold, der er blevet gjort gældende til støtte for en sådan anmodning, savner grundlag, og som følge heraf afviser anmodningen, skal den person, der har indgivet anmodningen, således som det fremgår af artikel 28, stk. 3, andet afsnit, i direktiv 95/46, sammenholdt med chartrets artikel 47, have adgang til de retslige retsmidler, der gør det muligt for den pågældende at bestride en sådan bebyrdende retsakt ved de nationale domstole. Henset til den retspraksis, der er anført i denne doms præmis 61 og 62, er disse domstole forpligtet til at udsætte sagen og forelægge Domstolen et præjudicielt spørgsmål vedrørende gyldigheden, såfremt de er af den opfattelse, at et eller flere af de ugyldighedsanbringender, som parterne har påberåbt sig for dem, eller som de nævnte domstole i givet fald har rejst af egen drift, er begrundede (jf. i denne retning dom T & L Sugars og Sidul Açúcares mod Kommissionen, C-456/13, EU:C:2015:284, præmis 48 og den deri nævnte retspraksis).

65

I det modsatte tilfælde, hvor den nævnte myndighed finder, at de klagepunkter, som er fremsat af den person, der har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af vedkommendes personoplysninger, er begrundede, skal myndigheden i overensstemmelse med artikel 28, stk. 3, første afsnit, tredje led, i direktiv 95/46, sammenholdt med bl.a. chartrets artikel 8, stk. 3, kunne anlægge sag. I denne henseende påhviler det den nationale lovgiver at fastsætte retsmidler, der gør det muligt for den pågældende nationale tilsynsmyndighed at gøre de klagepunkter, som den finder begrundede, gældende for de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af Kommissionens afgørelse, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af denne afgørelses gyldighed.

66

Henset til de ovenstående betragtninger skal de forelagte spørgsmål besvares med, at artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom beslutning 2000/520, hvorved Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direktivets artikel 28 behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.

Om gyldigheden af beslutning 2000/520

67

Således som det fremgår af den forelæggende rets redegørelse vedrørende de forelagte spørgsmål, har Maximillian Schrems under retsforhandlingerne i hovedsagen gjort gældende, at den gældende lovgivning og praksis i USA ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25 i direktiv 95/46. Som anført af generaladvokaten i punkt 123 og 124 i forslaget til afgørelse, har Maximillian Schrems rejst tvivl om gyldigheden af beslutning 2000/520, hvilken tvivl den forelæggende ret i øvrigt i det væsentlige synes at dele. Under sådanne omstændigheder skal det, henset til de konstateringer, der er foretaget i denne doms præmis 60-63, og med henblik på at give den nævnte ret en fyldestgørende besvarelse, undersøges, om beslutningen er i overensstemmelse med de krav, der følger af direktivet, sammenholdt med chartret.

Om de krav, der følger af artikel 25, stk. 6, i direktiv 95/46

68

Som allerede anført i denne doms præmis 48 og 49, forbyder artikel 25, stk. 1, i direktiv 95/46 videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau.

69

Med henblik på kontrollen med en sådan videregivelse fastsætter direktivets artikel 25, stk. 6, første afsnit, imidlertid, at Kommissionen »kan […] fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder«.

70

Ganske vist indeholder hverken artikel 25, stk. 2, i direktiv 95/46 eller nogen anden bestemmelse i direktivet en definition af begrebet et tilstrækkeligt beskyttelsesniveau. Navnlig begrænser direktivets artikel 25, stk. 2, sig til at fastsætte, at vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, »sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger«, og bestemmelsen opregner på ikke-udtømmende vis de forhold, som lægges til grund ved en sådan vurdering.

71

Som det imidlertid for det første fremgår af selve ordlyden af artikel 25, stk. 6, i direktiv 95/46, kræver denne bestemmelse, at et tredjeland »sikrer« et tilstrækkeligt beskyttelsesniveau på grundlag af dets nationale lovgivning eller dets internationale forpligtelser. For det andet fremgår det ligeledes af denne bestemmelse, at vurderingen af, om beskyttelsesniveauet i tredjelandet er tilstrækkeligt, sker »med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder«.

72

Artikel 25, stk. 6, i direktiv 95/46 gennemfører således den udtrykkelige forpligtelse til beskyttelse af personoplysninger, der er fastsat i chartrets artikel 8, stk. 1, og har til formål, således som generaladvokaten har anført i punkt 139 i forslaget til afgørelse, at sikre et fortsat højt niveau for denne beskyttelse i tilfælde af videregivelse af personoplysninger til et tredjeland.

73

Ordet »tilstrækkeligt«, der er indeholdt i artikel 25, stk. 6, i direktiv 95/46, indebærer ganske vist, at det ikke kan kræves, at et tredjeland sikrer et beskyttelsesniveau, som er identisk med det niveau, som er sikret i Unionens retsorden. Som anført af generaladvokaten i punkt 141 i forslaget til afgørelse, skal udtrykket »et tilstrækkeligt beskyttelsesniveau« imidlertid forstås således, at det opstiller et krav om, at dette tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af direktiv 95/46, sammenholdt med chartret. Såfremt der ikke blev opstillet et sådant krav, ville det mål, som er anført i denne doms foregående præmis, være tilsidesat. Desuden ville det høje beskyttelsesniveau, der er sikret ved direktiv 95/46, sammenholdt med chartret, let kunne omgås ved videregivelse af personoplysninger fra Unionen til tredjelande med henblik på behandling heraf i disse lande.

74

Det fremgår af den udtrykkelige ordlyd af artikel 25, stk. 6, i direktiv 95/46, at det er retsordenen i det tredjeland, der er omhandlet i Kommissionens afgørelse, som skal sikre et tilstrækkeligt beskyttelsesniveau. Selv om de midler, som tredjelandet anvender i denne henseende for at sikre et sådant beskyttelsesniveau, kan være forskellige fra de midler, som gennemføres inden for Unionen med henblik på at sikre overholdelsen af de krav, der følger af dette direktiv, sammenholdt med chartret, skal disse midler ikke desto mindre i praksis vise sig at være effektive med henblik på at sikre en beskyttelse, som i det væsentlige svarer til den inden for Unionen sikrede beskyttelse.

75

På denne baggrund er Kommissionen under vurderingen af et tredjelands beskyttelsesniveau forpligtet til at bedømme såvel indholdet af de regler, der finder anvendelse i dette land, og som følger af landets nationale lovgivning eller internationale forpligtelser, som den praksis, hvorved det tilsigtes at sikre overholdelsen af disse regler, idet den nævnte institution i overensstemmelse med artikel 25, stk. 2, i direktiv 95/46 skal tage hensyn til samtlige de forhold, der vedrører en videregivelse af personoplysninger til et tredjeland.

76

Henset til den omstændighed, at det beskyttelsesniveau, som et tredjeland sikrer, kan ændre sig, påhviler det endvidere Kommissionen efter vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46 at undersøge med regelmæssige mellemrum, om konstateringen vedrørende det tilstrækkelige beskyttelsesniveau, som er sikret i det pågældende tredjeland, stadig er faktisk og retligt begrundet. En sådan undersøgelse skal under alle omstændighed foretages, når oplysninger bevirker, at der opstår tvivl i denne henseende.

77

Som anført af generaladvokaten i punkt 134 og 135 i forslaget til afgørelse, skal der under vurderingen af gyldigheden af en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46 desuden også tages hensyn til begivenheder, der er indtruffet efter vedtagelsen af afgørelsen.

78

I denne henseende bemærkes, at henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels det betragtelige antal personer, hvis grundlæggende rettigheder kan blive tilsidesat i tilfælde af videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, er Kommissionens skønsbeføjelse for så vidt angår vurderingen af, om et tredjelands beskyttelsesniveau er tilstrækkeligt, begrænset, hvorfor der skal foretages en streng efterprøvelse af de krav, som følger af artikel 25 i direktiv 95/46, sammenholdt med chartret (jf. analogt dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 47 og 48).

Om artikel 1 i beslutning 2000/520

79

Kommissionen anførte i artikel 1, stk. 1, i beslutning 2000/520, at de i bilag I til denne beslutning omhandlede principper, der finder anvendelse i overensstemmelse med de i bilag II til beslutningen omhandlede FAQ, sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Unionen til i USA etablerede foretagender. Det fremgår af denne bestemmelse, at såvel disse principper som disse FAQ er blevet udstedt af det amerikanske handelsministerium.

80

Et foretagendes tilslutning til safe harbor-principperne sker på grundlag af et selvcertificeringssystem, således som det fremgår af beslutningens artikel 1, stk. 2 og 3, sammenholdt med FAQ nr. 6, der er indeholdt i bilag II til nævnte beslutning.

81

Selv om et tredjelands anvendelse af et selvcertificeringssystem ikke i sig selv er i strid med det i artikel 25, stk. 6, i direktiv 95/46 fastsatte krav, hvorefter det pågældende tredjeland skal sikre et tilstrækkeligt beskyttelsesniveau »på grundlag af [dette lands] nationale lovgivning eller […] internationale forpligtelser«, hviler pålideligheden af et sådant system, henset til dette krav, hovedsageligt på indførelsen af effektive afslørings- og kontrolmekanismer, der gør det muligt i praksis at identificere og sanktionere eventuelle tilsidesættelser af de regler, som sikrer beskyttelsen af de grundlæggende rettigheder, herunder af retten til respekt for privatlivet og af retten til beskyttelse af personoplysninger.

82

I det foreliggende tilfælde er safe harbor-principperne i medfør af andet afsnit i bilag I til beslutning 2000/520 »udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om »tilstrækkelighed«, dette medfører«. Disse principper finder således udelukkende anvendelse på de selvcertificerede amerikanske foretagender, der modtager personoplysninger fra Unionen, uden at der stilles krav om, at de amerikanske offentlige myndigheder i USA undergives overholdelse af de nævnte principper.

83

Desuden fremgår det af artikel 2 i beslutning 2000/520, at beslutningen »[kun] vedrører […] tilstrækkeligheden af den beskyttelse, der opnås i USA i kraft af [safe harbor-]principperne, der gennemføres i overensstemmelse med FAQ, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46[…]«, uden herved at indeholde tilstrækkelige konstateringer for så vidt angår de foranstaltninger, hvorved USA på grundlag af landets nationale lovgivning og internationale forpligtelser sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i direktivets artikel 25, stk. 6.

84

Hertil skal tilføjes, at i overensstemmelse med fjerde afsnit i bilag I til beslutning 2000/520 kan anvendelsen af disse principper bl.a. begrænses »til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden«, og af »love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«.

85

I denne henseende bliver det i beslutning 2000/520, under afsnit B i bilag IV hertil, fremhævet for så vidt angår de begrænsninger, som anvendelsen af safe harbor-principperne er underlagt, at »[d]e amerikanske foretagender […] uanset deres deltagelse i safe harbor-ordningen helt klart [skal] overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser«.

86

Beslutning 2000/520 fastsætter således, at »kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden [i USA]« har forrang for safe harbor-principperne, og i medfør af denne forrang er de selvcertificerede amerikanske myndigheder, der modtager personoplysninger fra Unionen, forpligtet til uden begrænsning at se bort fra disse principper, når disse er i modstrid med disse krav og derfor viser sig uforenelige med kravene.

87

Henset til den generelle karakter af undtagelsen i fjerde afsnit i bilag I til beslutning 2000/520 åbner beslutningen således op for, at der på grundlag af kravene vedrørende statens sikkerhed og almenvellet eller på grundlag af den nationale amerikanske lovgivning foretages indgreb i de grundlæggende rettigheder hos de personer, hvis personoplysninger bliver eller kan blive videregivet fra Unionen til USA. I denne henseende er det ved afgørelsen af, om der foreligger et indgreb i den grundlæggende ret til respekt for privatlivet, uden betydning, om de videregivne oplysninger er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 33 og den deri nævnte retspraksis).

88

Desuden indeholder beslutning 2000/520 ingen konstateringer om, hvorvidt der i USA foreligger regler af statslig karakter, hvorved det tilsigtes at begrænse de eventuelle indgreb i de grundlæggende rettigheder hos de personer, hvis oplysninger bliver videregivet fra Unionen til USA, hvilke indgreb de statslige enheder i dette land er beføjet til at foretage, når der herved forfølges legitime mål, såsom statens sikkerhed.

89

Hertil skal tilføjes, at det ikke fremgår af beslutning 2000/520, at der foreligger en effektiv domstolsbeskyttelse mod indgreb af denne art. Således som generaladvokaten har anført i punkt 204-206 i forslaget til afgørelse, vedrører de private voldgiftsmekanismer og procedurerne ved FTC – hvis beføjelser, der bl.a. er beskrevet i det i bilag II til beslutningen indeholdte FAQ nr. 11, er begrænset til handelstvister – de amerikanske foretagenders overholdelse af safe harbor-principperne, og de kan ikke benyttes i forbindelse med tvister om lovligheden af de indgreb i de grundlæggende rettigheder, der følger af statslige foranstaltninger.

90

Den ovenfor foretagne analyse af beslutning 2000/520 bekræftes desuden af den vurdering, som Kommissionen selv har foretaget af den situation, der følger af gennemførelsen af denne beslutning. Navnlig i punkt 2 og 3.2 i meddelelse KOM(2013) 846 endelig og i punkt 7.1, 7.2 og 8 i meddelelse KOM(2013) 847 endelig, hvis indhold er beskrevet i henholdsvis præmis 13-16 og præmis 22, 23 og 25 i denne dom, konstaterede Kommissionen nemlig, at de amerikanske myndigheder kunne få adgang til personoplysninger, der blev videregivet fra medlemsstaterne til USA, og behandle disse på en måde, der bl.a. var i strid med formålet med videregivelsen heraf, og som gik ud over, hvad der var strengt nødvendigt og stod i forhold til beskyttelsen af statens sikkerhed. Tilsvarende konstaterede Kommissionen, at de berørte personer ikke rådede over administrative eller retslige retsmidler, der kunne gøre det muligt for dem at få adgang til de oplysninger, der vedrørte dem, og til i givet fald at få disse berigtiget eller slettet.

91

Hvad angår det inden for Unionen sikrede beskyttelsesniveau for frihedsrettigheder og grundlæggende rettigheder fremgår det af Domstolens faste praksis, at en EU-lovgivning, som indebærer et indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, skal fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af en foranstaltning og opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger. Behovet for at råde over sådanne garantier er så meget desto større, når personoplysningerne undergives automatisk databehandling, og der eksisterer en betydelig risiko for ulovlig adgang til disse oplysninger (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 54 og 55 og den deri nævnte retspraksis).

92

Desuden kræver beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan særligt, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 52 og den deri nævnte retspraksis).

93

En lovgivning, der på generel vis tillader opbevaring af samtlige personoplysninger fra samtlige de personer, hvis oplysninger er blevet videregivet fra Unionen til USA, uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, og uden at der bliver fastsat noget objektivt kriterium, som gør det muligt at afgrænse de offentlige myndigheders adgang til oplysningerne og deres senere anvendelse heraf med henblik på veldefinerede formål, der er strengt begrænsede, og som kan begrunde det indgreb, som såvel adgangen til disse oplysninger som anvendelsen heraf indebærer, er således ikke begrænset til det strengt nødvendige (jf. i denne retning for så vidt angår Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54) dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 57-61).

94

Navnlig skal en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet, således som denne er sikret ved chartrets artikel 7 (jf. i denne retning dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 39).

95

Tilsvarende opfylder en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47. Chartrets artikel 47, stk. 1, opstiller således et krav om, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I denne henseende er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat (jf. i denne retning domme Les Verts mod Parlamentet, 294/83, EU:C:1986:166, præmis 23, Johnston, 222/84, EU:C:1986:206, præmis 18 og 19, Heylens m.fl., 222/86, EU:C:1987:442, præmis 14, og UGT-Rioja m.fl., C-428/06 – C-434/06, EU:C:2008:488, præmis 80).

96

Således som det er blevet fastslået i bl.a. præmis 71, 73 og 74 i denne dom, kræver Kommissionens vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46, at Kommissionen behørigt konstaterer, at det pågældende tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i Unionens retsorden, således som dette bl.a. er beskrevet i de foregående præmisser i denne dom.

97

Det bemærkes imidlertid, at Kommissionen ikke anførte i beslutning 2000/520, at USA faktisk »sikrer« et tilstrækkeligt beskyttelsesniveau på grundlag af landets nationale lovgivning eller dets internationale forpligtelser.

98

Som følge heraf, og uden at det er fornødent at undersøge safe harbor-principperne med hensyn til deres indhold, skal det fastslås, at beslutningens artikel 1 tilsidesætter de krav, der er fastsat i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartret, og at bestemmelsen følgelig er ugyldig.

Om artikel 3 i beslutning 2000/520

99

Det fremgår af betragtningerne i denne doms præmis 53, 57 og 63, at henset til artikel 28 i direktiv 95/46, sammenholdt med bl.a. chartrets artikel 8, skal de nationale tilsynsmyndigheder i fuld uafhængighed kunne behandle enhver anmodning om beskyttelse af en persons rettigheder og frihedsrettigheder i forhold til behandlingen af personoplysninger, som vedrører den pågældende. Dette gælder navnlig, når personen i forbindelse med en sådan anmodning rejser tvivl om, hvorvidt en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder.

100

Artikel 3, stk. 1, første afsnit, i beslutning 2000/520 fastsætter imidlertid en særlig ordning for så vidt angår de beføjelser, som de nationale tilsynsmyndigheder er tillagt i forhold til en af Kommissionen foretaget konstatering af, om beskyttelsesniveauet er tilstrækkeligt som omhandlet i artikel 25 i direktiv 95/46.

101

Det fremgår således af denne bestemmelse, at disse myndigheder – kun under restriktive betingelser, hvorved der fastsættes en høj interventionstærskel – »uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i [direktiv 95/46, kan] suspendere overførslen af oplysninger til et foretagende, der […] tilslutter sig principperne [i beslutning 2000/520]«. Selv om denne bestemmelse ikke berører disse myndigheders beføjelse til at træffe foranstaltninger, der har til formål at sikre overholdelsen af nationale bestemmelser vedtaget i henhold til dette direktiv, udelukker den derimod de nævnte myndigheders mulighed for at træffe foranstaltninger for at sikre iagttagelsen af direktivets artikel 25.

102

Artikel 3, stk. 1, første afsnit, i beslutning 2000/520 skal derfor forstås således, at den berøver de nationale tilsynsmyndigheder de beføjelser, som de er tillagt i medfør af artikel 28 i direktiv 95/46, i det tilfælde, hvor en person i forbindelse med en anmodning i henhold til denne bestemmelse anfører nogle forhold, der kan rejse tvivl om, hvorvidt en afgørelse fra Kommissionen, hvorved det på grundlag af direktivets artikel 25, stk. 6, er blevet konstateret, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder.

103

Den gennemførelsesbeføjelse, som EU-lovgiver har indrømmet Kommissionen i artikel 25, stk. 6, i direktiv 95/46, giver imidlertid ikke denne institution kompetence til at begrænse de beføjelser hos de nationale tilsynsmyndigheder, der er omhandlet i denne doms foregående præmis.

104

På denne baggrund må det fastslås, at Kommissionen ved at vedtage artikel 3 i beslutning 2000/520 har overskredet den kompetence, som den er blevet tillagt i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartret, og at bestemmelsen følgelig er ugyldig.

105

Da artikel 1 og 3 i beslutning 2000/520 ikke kan adskilles fra beslutningens artikel 2 og 4 og fra bilagene til beslutningen, indebærer deres ugyldighed, at beslutningens gyldighed i det hele berøres.

106

Henset til samtlige ovenstående betragtninger må det fastslås, at beslutning 2000/520 er ugyldig.

Sagens omkostninger

107

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

 

1)

Artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003, sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium, hvorved Europa-Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i artikel 28 i direktivet, som ændret, behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.

 

2)

Beslutning 2000/520/EF er ugyldig.

 

Underskrifter


( * )   Processprog: engelsk.

Top