EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62018CJ0311

Domstolens dom (Store Afdeling) af 16. juli 2020.
Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA.
Sag C-311/18.

ECLI identifier: ECLI:EU:C:2020:559

 DOMSTOLENS DOM (Store Afdeling)

16. juli 2020 ( *1 )

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA«

I sag C-311/18,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af High Court (ret i første instans, Irland) ved afgørelse af 4. maj 2018, indgået til Domstolen den 9. maj 2018, i sagen

Data Protection Commissioner

mod

Facebook Ireland Ltd,

Maximillian Schrems,

procesdeltagere:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, R. Silva de Lapuerta, afdelingsformændene A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi og I. Jarukaiti samt dommerne M. Ilešič, T. von Danwitz (refererende dommer) og D. Šváby,

generaladvokat: H. Saugmandsgaard Øe,

justitssekretær: fuldmægtig C. Strömholm,

på grundlag af den skriftlige forhandling og efter retsmødet den 9. juli 2019,

efter at der er afgivet indlæg af:

Data Protection Commissioner ved solicitor D. Young, B. Murray, SC, M. Collins, SC, og C. Donnelly, BL,

Facebook Ireland Ltd ved P. Gallagher, SC, N. Hyland, SC, A. Mulligan, BL, og F. Kieran, BL, samt solicitors P. Nolan, C. Monaghan, C. O’Neill og R. Woulfe,

Maximillian Schrems ved Rechtsanwalt H. Hofmann, E. McCullough, SC, J. Doherty, SC, S. O’Sullivan, SC, og solicitor G. Rudden,

The United States of America ved E. Barrington, SC, S. Kingston, BL, samt solicitors S. Barton og B. Walsh,

Electronic Privacy Information Centre ved solicitor S. Lucey, G. Gilmore, BL, A. Butler, BL, og C. O’Dwyer, SC,

BSA Business Software Alliance Inc. ved advocaten B. Van Vooren og K. Van Quathem,

Digitaleurope ved barrister N. Cahill, solicitor J. Cahir og M. Cush, SC,

Irland ved A. Joyce og M. Browne, som befuldmægtigede, bistået af D. Fennelly, BL,

den belgiske regering ved J.-C. Halleux og P. Cottin, som befuldmægtigede,

den tjekkiske regering ved M. Smolek, J. Vláčil, O. Serdula og A. Kasalická, som befuldmægtigede,

den tyske regering ved J. Möller, D. Klebs og T. Henze, som befuldmægtigede,

den franske regering ved A.-L. Desjonquères, som befuldmægtiget,

den nederlandske regering ved C.S. Schillemans, M.K. Bulterman og M. Noort, som befuldmægtigede,

den østrigske regering ved J. Schmoll og G. Kunnert, som befuldmægtigede,

den polske regering ved B. Majczyna, som befuldmægtiget,

den portugisiske regering ved L. Inez Fernandes, A. Pimenta og C. Vieira Guerra, som befuldmægtigede,

Det Forenede Kongeriges regering ved S. Brandon, som befuldmægtiget, bistået af J. Holmes, QC, og barrister C. Knight,

Europa-Parlamentet ved M.J. Martínez Iglesias og A. Caiola, som befuldmægtigede,

Europa-Kommissionen ved D. Nardi, H. Krämer og H. Kranenborg, som befuldmægtigede,

Det Europæiske Databeskyttelsesråd (EDPB) ved A. Jelinek og K. Behn, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 19. december 2019,

afsagt følgende

Dom

1

Anmodningen om præjudiciel afgørelse vedrører nærmere bestemt

fortolkningen af artikel 3, stk. 2, første led, artikel 25 og 26 samt artikel 28, stk. 3, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31), sammenholdt med artikel 4, stk. 2, TEU, og artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)

fortolkningen og gyldigheden af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46 (EUT 2010, L 39, s. 5), som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016 (EUT 2016, L 344, s. 100) (herefter »afgørelsen om standardkontraktbestemmelser«), og

fortolkningen og gyldigheden af Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred (EUT 2016, L 207, s. 1, herefter »afgørelsen om værnet om privatlivets fred«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Data Protection Commissioner (kommissæren for databeskyttelse, Irland, herefter »Commissioner«) på den ene side og Facebook Ireland Ltd og Maximillian Schrems på den anden side vedrørende en klage indgivet af sidstnævnte vedrørende Facebook Irelands overførsel af hans personoplysninger til Facebook Inc. i USA.

Retsforskrifter

Direktiv 95/46

3

Artikel 3 i direktiv 95/46 med overskriften »Anvendelsesområde« bestemte følgende i stk. 2:

»Dette direktiv gælder ikke for sådan behandling af personoplysninger,

som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

[…]«

4

Dette direktivs artikel 25 bestemte følgende:

»1.   Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger […] kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2.   Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger […]

[…]

6.   Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«

5

Det nævnte direktivs artikel 26, stk. 2 og 4, fastsatte følgende:

»2.   Med forbehold af stk. 1 kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.

[…]

4.   Fastslår Kommissionen efter proceduren i artikel 31, stk. 2, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«

6

Samme direktivs artikel 28, stk. 3, havde følgende ordlyd:

»Hver tilsynsmyndighed skal bl.a. kunne:

iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

[…]«

Databeskyttelsesforordningen

7

Direktiv 95/46 er blevet ophævet og erstattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«).

8

Følgende fremgår af 6., 10., 101., 103., 104., 107.-109., 114., 116. og 141. betragtning til databeskyttelsesforordningen:

»(6)

Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver både private selskaber og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både økonomien og sociale aktiviteter og bør yderligere fremme den frie udveksling af personoplysninger inden for Unionen og overførslen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger.

[…]

(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af direktiv 95/46/EF har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for mere specifikke bestemmelser. Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.

[…]

(101)

Strømmen af personoplysninger til og fra lande uden for Unionen og til og fra internationale organisationer er nødvendig af hensyn til udbygningen af den internationale samhandel og det internationale samarbejde. Udvidelsen af denne strøm har skabt nye udfordringer og betænkeligheder med hensyn til beskyttelsen af personoplysninger. Når personoplysninger overføres fra Unionen til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, dog ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

[…]

(103)

Kommissionen kan med virkning for hele Unionen træffe afgørelse om, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen hvad angår det tredjeland eller den internationale organisation, der vurderes at have et sådant beskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland uden yderligere godkendelse. Kommissionen kan også træffe afgørelse om at tilbagekalde en sådan afgørelse efter at have underrettet og fyldestgørende begrundet det over for det pågældende tredjeland eller den pågældende internationale organisation.

(104)

I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en specifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet, klageadgang og domstolsprøvelse, internationale menneskerettighedsnormer og ‑standarder samt sin generelle og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og strafferet. Når der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive kriterier, som f.eks. specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og lovgivning i tredjelandet. Tredjelandet bør give garantier, der sikrer et passende beskyttelsesniveau, som i det væsentlige svarer til det, der sikres i Unionen, især når personoplysninger behandles i en eller flere specifikke sektorer. Tredjelandet bør navnlig sikre et effektivt uafhængigt databeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse.

[…]

(107)

Kommissionen kan fastslå, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Overførsel af personoplysninger til et sådant tredjeland eller en sådan international organisation bør derfor forbydes, medmindre kravene i denne forordning vedrørende overførsel omfattet af fornødne garantier, herunder bindende virksomhedsregler og undtagelser i særlige situationer, er opfyldt. Der bør i sådanne tilfælde fastlægges bestemmelser om en procedure for konsultationer mellem Kommissionen og sådanne tredjelande eller internationale organisationer. Kommissionen bør rettidigt underrette tredjelandet eller den internationale organisation om årsagerne og indlede konsultationer med tredjelandet eller den internationale organisation for at afhjælpe situationen.

(108)

I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anvendelse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed eller kontraktbestemmelser godkendt af en tilsynsmyndighed. Disse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Garantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. […]

(109)

Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller en tilsynsmyndighed bør hverken udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medtager andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der supplerer standardbestemmelserne om beskyttelse.

[…]

(114)

Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af grundlæggende rettigheder og garantier.

[…]

(116)

Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de er ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. […]

[…]

(141)

Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted, og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. […]«

9

Databeskyttelsesforordningens artikel 2, stk. 1 og 2, fastsætter følgende:

»1.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Denne forordning gælder ikke for behandling af personoplysninger:

a)

under udøvelse af aktiviteter, der falder uden for EU-retten

b)

som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU

c)

som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d)

som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«

10

Nævnte forordnings artikel 4 bestemmer følgende:

»I denne forordning forstås ved:

[…]

2)

»behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

7)

»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

8)

»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

9)

»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

[…]«

11

Samme forordnings artikel 23 fastsætter følgende:

»1.   EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a)

statens sikkerhed

b)

forsvaret

c)

den offentlige sikkerhed

d)

forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

[…]

2.   Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

a)

formålene med behandlingen eller kategorierne af behandling

b)

kategorierne af personoplysninger

c)

rækkevidden af de indførte begrænsninger

d)

garantierne for at undgå misbrug eller ulovlig adgang eller overførsel

e)

specifikation af den dataansvarlige eller kategorierne af dataansvarlige

f)

opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling

g)

risiciene for de registreredes rettigheder og frihedsrettigheder, og

h)

de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.«

12

Databeskyttelsesforordningens kapitel V, der har overskriften »Overførsler af personoplysninger til tredjelande eller internationale organisationer«, omfatter forordningens artikel 44-50. Artikel 44 heri, der har overskriften »Generelt princip for overførsler«, har følgende ordlyd:

»Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.«

13

Forordningens artikel 45, der har overskriften »Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet«, fastsætter følgende i stk. 1-3:

»1.   Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel kræver ikke specifik godkendelse.

2.   Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

a)

retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for videreoverførsel af personoplysninger til et andet tredjeland eller en anden international organisation, der gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres

b)

tilstedeværelse af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og

c)

de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af personoplysninger.

3.   Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, der er omhandlet i denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.«

14

Databeskyttelsesforordningens artikel 46, der har overskriften »Overførsler omfattet af fornødne garantier«, bestemmer følgende i stk. 1-3:

»1.   Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2.   De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:

a)

et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer

b)

bindende virksomhedsregler i overensstemmelse med artikel 47

c)

standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2

d)

standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2

e)

en godkendt adfærdskodeks i medfør af artikel 40 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder, eller

f)

en godkendt certificeringsmekanisme i medfør af artikel 42 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder.

3.   Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1 også sikres gennem navnlig:

a)

kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller

b)

bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.«

15

Samme forordnings artikel 49, der har overskriften »Undtagelser i særlige situationer«, fastsætter følgende:

»1.   I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

a)

den registrerede udtrykkelig har givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier

b)

overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

c)

overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person

d)

overførslen er nødvendig af hensyn til vigtige samfundsinteresser

e)

overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares

f)

overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke

g)

overførslen finder sted fra et register, der ifølge EU-ret eller medlemsstaternes nationale ret er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-ret eller medlemsstaternes nationale ret fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde

Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes første afsnit finder anvendelse, må en overførsel til et tredjeland eller en international organisation kun finde sted, hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om overførslen og om de vægtige legitime interesser, der forfølges.

2.   En overførsel i henhold til stk. 1, første afsnit, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

3.   Stk. 1, første afsnit, litra a), b) og c), og stk. 1, andet afsnit, finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led [i] udøvelsen af deres offentligretlige beføjelser.

4.   De samfundsinteresser, der er omhandlet i stk. 1, første afsnit, litra d), skal være anerkendt i EU-retten eller retten i den medlemsstat, som den dataansvarlige er underlagt.

5.   Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten eller medlemsstaternes nationale ret af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Medlemsstaterne giver Kommissionen meddelelse om disse bestemmelser.

6.   Den dataansvarlige eller databehandleren dokumenterer vurderingen og de passende garantier i denne artikels stk. 1, andet afsnit, i de fortegnelser, der er omhandlet i artikel 30.«

16

Databeskyttelsesforordningens artikel 51, stk. 1, har følgende ordlyd:

»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«

17

I henhold til denne forordnings artikel 55, stk. 1, »[er] [h]ver tilsynsmyndighed […] kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.«

18

Nævnte forordnings artikel 57, stk. 1, fastsætter følgende:

»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a)

føre tilsyn med og håndhæve anvendelsen af denne forordning

[…]

f)

behandle klager, der indgives af en registreret […], og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

[…]«

19

Samme forordnings artikel 58, stk. 2 og 4, bestemmer følgende:

»2.   Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[…]

f)

midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

[…]

j)

at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

[…]

4.   Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.«

20

Databeskyttelsesforordningens artikel 64, stk. 2, fastsætter følgende:

»En tilsynsmyndighed, formanden for [Det Europæiske Databeskyttelsesråd (EDPB)] eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Databeskyttelsesrådet med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. artikel 62.«

21

Denne forordnings artikel 65, stk. 1, bestemmer følgende:

»Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde:

[…]

c)

hvis en kompetent tilsynsmyndighed ikke anmoder om udtalelse fra Databeskyttelsesrådet i de tilfælde, der er omhandlet i artikel 64, stk. 1, eller ikke følger Databeskyttelsesrådets udtalelse udstedt i henhold til artikel 64. I så fald kan enhver berørt tilsynsmyndighed eller Kommissionen indbringe spørgsmålet for Databeskyttelsesrådet.«

22

Nævnte forordnings artikel 77, der har overskriften »Ret til at indgive klage til en tilsynsmyndighed«, er affattet som følger.

»1.   Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.

2.   Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.«

23

Samme forordnings artikel 78, der har overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed«, fastsætter følgende i stk. 1 og 2:

»1.   Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.   Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.«

24

Databeskyttelsesforordningens artikel 94 bestemmer følgende:

»1.   Direktiv [95/46] ophæves med virkning fra den 25. maj 2018.

2.   Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. Henvisninger til Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv [95/46], gælder som henvisninger til Det Europæiske Databeskyttelsesråd oprettet ved denne forordning.«

25

Forordningens artikel 99 lyder som følger:

»1.   Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   Den anvendes fra den 25. maj 2018.«

Afgørelsen om standardkontraktbestemmelser

26

11. betragtning til afgørelsen om standardkontraktbestemmelser har følgende ordlyd:

»Medlemsstaternes tilsynsmyndigheder spiller en central rolle i denne kontraktordning ved at sikre, at personoplysninger beskyttes tilstrækkeligt efter videregivelsen. I særlige tilfælde, hvor dataeksportøren nægter eller ikke er i stand til at instruere dataimportøren behørigt, med overhængende risiko for alvorlig skade for de registrerede til følge, bør standardkontraktbestemmelserne give tilsynsmyndighederne adgang til at foretage inspektion hos dataimportørerne og de underkontraherede registerførere og i givet fald at træffe beslutninger, som er bindende for dataimportørerne og de underkontraherede registerførere. Tilsynsmyndighederne bør have beføjelse til at forbyde eller suspendere videregivelse eller en type videregivelse af personoplysninger på grundlag af standardkontraktbestemmelserne i de særlige tilfælde, hvor det konstateres, at videregivelse på grundlag af kontraktbestemmelserne kan forventes at få en betydelig negativ virkning på de garantier og forpligtelser, hvormed den registrerede sikres en passende beskyttelse.«

27

Denne afgørelses artikel 1 bestemmer følgende:

»De i bilaget fastsatte standardkontraktbestemmelser anses for at yde tilstrækkelige garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, som fastsat i artikel 26, stk. 2, i direktiv [95/46].«

28

I overensstemmelse med denne afgørelses artikel 2, stk. 2, »[finder afgørelsen] anvendelse på videregivelse af personoplysninger fra registeransvarlige, der er etableret i Den Europæiske Union, til modtagere, som er etableret uden for Den Europæiske Unions område, og som blot behandler disse oplysninger«.

29

Samme afgørelses artikel 3 bestemmer følgende:

»I denne afgørelse forstås ved:

[…]

c)

»dataeksportør«: den registeransvarlige, der videregiver personoplysningerne

d)

»dataimportør«: den registerfører etableret i et tredjeland, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og denne afgørelse, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv [95/46]

[…]

f)

»den gældende databeskyttelseslovgivning«: den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

[…]«

30

Artikel 4 i afgørelsen om standardkontraktbestemmelser fastsatte i sin oprindelige udgave, før ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, følgende:

»1.   De kompetente myndigheder i medlemsstaterne kan, uden at det berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i henhold til kapitel II, III, V og VI i direktiv [95/46], gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:

a)

når det er fastslået, at den lovgivning, som dataimportøren eller en underkontraheret registerfører er underlagt, pålægger den pågældende krav om at fravige den gældende databeskyttelseslovgivning i en grad, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund, som fastsat i artikel 13 i direktiv [95/46], når disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af den gældende databeskyttelseslovgivning og standardkontraktbestemmelserne, eller

b)

når en kompetent myndighed har fastslået, at dataimportøren eller en underkontraheret registerfører ikke har overholdt standardkontraktbestemmelserne i bilaget, eller

c)

når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat videregivelse af oplysninger vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.

2.   Forbud eller suspension i henhold til stk. 1 ophæves straks, når grundene til forbuddet eller suspensionen ikke længere eksisterer.

3.   Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1 og 2, underretter de straks Kommissionen, som igen underretter de øvrige medlemsstater.«

31

Femte betragtning til gennemførelsesafgørelse 2016/2297, der blev vedtaget efter afsigelsen af dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), er affattet som følger:

»En kommissionsafgørelse truffet i henhold til artikel 26, stk. 4, i direktiv [95/46] er med de fornødne ændringer bindende for alle organer i de medlemsstater, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder, for så vidt som dens virkning er at anerkende, at videregivelser på grundlag af de standardkontraktbestemmelser, som omhandles i førnævnte artikel, frembyder tilstrækkelige garantier som krævet [i] direktivets artikel 26, stk. 2. Dette forhindrer ikke en national tilsynsmyndighed i at udøve sine beføjelser til at overvåge videregivelser af oplysninger, herunder beføjelsen til at suspendere eller forbyde en videregivelse af personoplysninger, hvis den finder, at videregivelsen udføres i strid med EU’s databeskyttelsesregler eller de nationale databeskyttelsesregler, for eksempel hvis dataimportøren ikke overholder standardkontraktbestemmelserne.«

32

Artikel 4 i afgørelsen om standardkontraktbestemmelser er i sin nuværende udgave, der følger af gennemførelsesafgørelse 2016/2297, affattet som følger:

»Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv [95/46], og dette fører til suspension eller definitivt forbud mod videregivelse af oplysninger til tredjelande med det formål at beskytte personer i forbindelse med behandlingen af deres personoplysninger, underretter den pågældende medlemsstat straks Kommissionen, som underretter de øvrige medlemsstater.«

33

Bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Standardkontraktbestemmelser (»Registerførere«)«, omfatter 12 standardbestemmelser. Standardbestemmelse 3, der har overskriften »Tredjemandsløfte«, fastsætter følgende:

»1. Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren.

2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.

[…]«

34

Standardbestemmelse 4 i dette bilag, der har overskriften »Dataeksportørens pligter«, har følgende ordlyd:

»Dataeksportøren accepterer og garanterer:

a)

at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser

b)

at han har instrueret og under behandlingen af personoplysninger vil instruere dataimportøren om kun at behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med den gældende databeskyttelseslovgivning og standardbestemmelserne

[…]

f)

at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret eller inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i direktiv [95/46]

g)

at han vil sende meddelelser, som han modtager fra dataimportøren eller en eventuel underkontraheret registerfører i henhold til standardbestemmelse 5, litra b) og [standardbestemmelse] 8, stk. 3, videre til databeskyttelsesmyndigheden, hvis han beslutter at fortsætte videregivelsen eller at ophæve suspensionen

[…]«

35

Standardbestemmelse 5 i det nævnte bilag, der har overskriften »Dataimportørens pligter […]«, bestemmer følgende:

»Dataimportøren accepterer og garanterer:

a)

at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne; såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

b)

at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

[…]

d)

at han straks vil give dataeksportøren meddelelse om:

i)

retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager

ii)

enhver utilsigtet eller uautoriseret adgang og

iii)

anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil

[…]«

36

Den fodnote, der henvises til i overskriften til standardbestemmelse 5, er affattet som følger:

»Obligatoriske krav i den nationale lovgivning, der finder anvendelse på dataimportøren, og som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv [95/46], det vil sige, hvis de udgør en nødvendig restriktion af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller brud på etiske regler for lovregulerede erhverv, en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder, er ikke i strid med standardbestemmelserne. […]«

37

Standardbestemmelse 6 i bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Erstatningsansvar«, fastsætter følgende:

»1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.

2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren […]

[…]«

38

Standardbestemmelse 8 i dette bilag, der har overskriften »Samarbejdet med tilsynsmyndighederne«, fastsætter følgende i stk. 2:

»Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser som en inspektion af dataeksportøren i henhold til den gældende databeskyttelseslovgivning.«

39

I standardbestemmelse 9 i det nævnte bilag, der har overskriften »Lovvalg«, er det præciseret, at standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

40

Standardbestemmelse 11 i samme bilag, der har overskriften »Udlicitering«, har følgende ordlyd:

»1. Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportørens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne. […]

2. Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

[…]«

41

Standardbestemmelse 12 i bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Forpligtelser efter afsluttet databehandling af personoplysninger«, fastsætter følgende i stk. 1:

»Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer ham i at returnere eller destruere alle eller en del af de videregivne personoplysninger. […]«

Afgørelsen om værnet om privatlivets fred

42

Ved dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), fastslog Domstolen, at Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (EFT 2000, L 215, s. 7), hvori Kommissionen havde konstateret, at USA sikrede et tilstrækkeligt beskyttelsesniveau, var ugyldig.

43

Efter afsigelsen af denne dom vedtog Kommissionen afgørelsen om værnet om privatlivets fred, efter at den med henblik herpå havde vurderet amerikansk ret, således som det er angivet i 65. betragtning til denne afgørelse:

»Kommissionen har vurderet begrænsningerne og garantierne i amerikansk ret for de amerikanske myndigheders adgang til og brug af personoplysninger overført under [Den Europæiske Unions] og USA’s værn om privatlivets fred med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser. Den amerikanske regering har desuden gennem Office of the Director of National Intelligence (ODNI) […] forelagt detaljerede udredninger og tilsagn for Kommissionen, som findes i bilag VI til denne afgørelse. Ved brev fra den amerikanske udenrigsminister knyttet som bilag III til denne afgørelse har den amerikanske regering ligeledes forpligtet sig til at indføre en ny tilsynsmekanisme for nationale sikkerhedsforanstaltninger, nemlig ombudsmanden i værnet om privatlivets fred, der er uafhængig af de amerikanske efterretningstjenester. Endelig beskrives [i] bilag VII til denne afgørelse de gældende begrænsninger og garantier for de offentlige myndigheders adgang til og brug af oplysninger med henblik på retshåndhævelse og andre offentlige interesser i en udredning fra det amerikanske justitsministerium. For at øge gennemsigtigheden og afspejle den retlige karakter af disse forpligtelser vil de enkelte dokumenter, der er anført i og knyttet til denne afgørelse, blive offentliggjort i USA’s Federal Register.«

44

Kommissionens analyse af disse begrænsninger og garantier er sammenfattet i 67.-135. betragtning til afgørelsen om værnet om privatlivets fred, mens Kommissionens konklusioner vedrørende det tilstrækkelige beskyttelsesniveau i Den Europæiske Unions og USA’s værn om privatlivets fred er anført i 136.-141. betragtning til afgørelsen.

45

Af 68., 69., 76., 77., 109., 112.-116., 120., 136. og 140. betragtning til denne afgørelse fremgår navnlig følgende:

»(68)

I henhold til den amerikanske forfatning skal præsidenten som øverstbefalende og regeringsleder beskytte den nationale sikkerhed og, hvad angår udenlandsk efterretningsvirksomhed, føre den amerikanske udenrigspolitik […]. Selv om den amerikanske kongres har beføjelse til at pålægge begrænsninger og har gjort dette i mange henseender, kan præsidenten inden for disse grænser styre de amerikanske efterretningstjenesters aktiviteter, navnlig gennem præsidentielle dekreter (executive orders) eller præsidentielle direktiver (presidential directives). […] De to centrale retlige instrumenter på dette område i øjeblikket er et præsidentielt dekret, Executive Order 12333 (»E.O. 12333«) […], og et præsidentielt direktiv, Presidential Policy Directive 28.

(69)

I Presidential Policy Directive 28 (»PPD-28«), udstedt den 17. januar 2014, pålægges en række begrænsninger for »signalefterretningsaktiviteter« […]. Dette præsidentielle direktiv er bindende for de amerikanske efterretningsmyndigheder […] og vil fortsat være i kraft efter et regeringsskifte i USA […]. PPD-28 er særlig relevant for ikke-amerikanske personer, herunder registrerede i EU. […]

[…]

(76)

Selv om disse principper [i PPD-28] ikke er formuleret ved brug af disse juridiske begreber, afspejler de det væsentligste indhold af principperne om nødvendighed og proportionalitet. […]

(77)

Da direktivet er udstedt af præsidenten som regeringsleder, er disse krav bindende for alle amerikanske efterretningstjenester, og de er blevet udbygget i agenturernes regler og procedurer, der omsætter de generelle principper til specifikke retningslinjer for daglige aktiviteter. […]

[…]

(109)

I henhold til afsnit 702 i FISA [Foreign Intelligence Surveillance Act (lov om overvågning af udenlandsk efterretningsvirksomhed)] tillader FISC [Foreign Intelligence Surveillance Court (ret i sager om overvågning af udenlandsk efterretningsvirksomhed, USA)] derimod ikke individuelle overvågningsforanstaltninger, men overvågningsprogrammer (f.eks. Prism, Upstream) på grundlag af årlige certificeringer udformet af den amerikanske justitsminister [Attorney General] og [Director of National Intelligence (DNI) (direktøren for den nationale efterforskningstjeneste)]. […] Som anført indeholder de certificeringer, der skal godkendes af FISC, ingen oplysninger om de enkelte personer, der skal overvåges, men identificerer derimod kategorier af udenlandske efterretningsoplysninger […]. Selv om FISC – på grundlag af en begrundet mistanke eller enhver anden standard – vurderer, at fysiske personer ikke er velegnede mål for indsamling af udenlandske efterretningsoplysninger […], kan der stadig indsamles oplysninger, såfremt »et væsentligt formål med indsamlingen er at indhente udenlandske efterretningsoplysninger«. […]

[…]

(112)

Foreign Intelligence Surveillance Act indeholder for det første en række retsmidler, der kan anvendes til at klage over ulovlig elektronisk overvågning, og som ligeledes kan anvendes af ikke-amerikanske personer […]. Dette omfatter fysiske personers mulighed for at anlægge private søgsmål for økonomisk erstatning mod USA, når den pågældendes personoplysninger ulovligt og forsætligt er blevet anvendt eller videregivet […], muligheden for at sagsøge embedsmænd personligt (»i lovens navn«) for økonomisk erstatning […], og muligheden for at gøre indsigelse mod overvågningens lovlighed (og anmode om at få oplysningerne fjernet), hvis den amerikanske regering agter at bruge eller videregive oplysninger indhentet gennem eller udledt af elektronisk overvågning mod den pågældende i forbindelse med retslige eller administrative procedurer i USA […]

(113)

Den amerikanske regering har for det andet oplyst Kommissionen om en række yderligere muligheder, som registrerede i EU kan anvende til at sagsøge embedsmænd for ulovlig statslig adgang til eller brug af personoplysninger, herunder til påståede nationale sikkerhedsformål […]

(114)

Den amerikanske regering har endelig understreget, at ikke-amerikanske personer kan henholde sig til FOIA [Freedom of Information Act (lov om informationsfrihed)] som et middel til at søge indsigt i de amerikanske forbundsorganers eksisterende optegnelser, herunder om de pågældendes personoplysninger […]. I lyset af FOIA’s anvendelsesområde giver loven ikke den enkelte mulighed for at gøre indsigelse mod indgreb i personoplysninger som sådan, selv om den i princippet giver dem mulighed for at få adgang til relevante oplysninger, der opbevares af nationale efterretningsagenturer. […]

(115)

Selv om personer, herunder registrerede i EU, således har en række klagemuligheder, når de har været genstand for ulovlig (elektronisk) overvågning af hensyn til den nationale sikkerhed, står det ligeledes klart, at i hvert fald nogle af de retsgrundlag, som de amerikanske efterretningsmyndigheder kan anvende (f.eks. E.O. 12333), ikke er omfattet. Selv når ikke-amerikanske personer i princippet har klageadgang, f.eks. i forbindelse med overvågning i henhold til FISA, er de tilgængelige klagemuligheder desuden begrænsede […], og søgsmål fra registrerede (herunder amerikanere) vil blive afvist, hvis de ikke kan dokumentere deres søgsmålskompetence (»standing« […]), hvilket begrænser adgangen til almindelige domstole […]

(116)

For at give alle registrerede i EU en yderligere klagemulighed har den amerikanske regering besluttet at oprette en ny mekanisme, ombudsmanden i værnet om privatlivets fred, som anført i brevet fra den amerikanske udenrigsminister til Kommissionen, der er indeholdt i bilag III til denne afgørelse. Denne mekanisme er baseret på udpegningen i medfør af PPD-28 af en seniorkoordinator (på viceministerniveau) i det amerikanske udenrigsministerium som kontaktpunkt for udenlandske regeringer, der bl.a. kan rejse bekymringer over amerikanske signalefterretningsaktiviteter, men mekanismen er langt mere vidtrækkende end den oprindelige idé.

[…]

(120)

[…] [D]en amerikanske regering [forpligter] sig til at sikre, at ombudsmanden i værnet om privatlivets fred i udførelsen af sine opgaver vil kunne regne med et samarbejde med andre uafhængige organer for tilsyn med og kontrol af overholdelsen i amerikansk ret. […] Hvis [et] af disse tilsynsorganer konstaterer manglende overholdelse, skal den pågældende efterretningsenhed (f.eks. en efterretningstjeneste) afhjælpe den manglende overholdelse, eftersom ombudsmanden kun derved vil kunne give den enkelte person et »positivt« svar (dvs. at den manglende overholdelse er afhjulpet), hvilket den amerikanske regering har forpligtet sig til. […]

[…]

(136)

Kommissionen mener på baggrund af disse konklusioner, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred.

[…]

(140)

På baggrund af de tilgængelige oplysninger om den amerikanske retsorden, herunder udredningerne og tilsagnene fra den amerikanske regering og begrænsningerne pålagt selvcertificerede foretagender i forbindelse med deres tilslutning til principperne, mener Kommissionen endelig, at eventuelle indgreb fra de amerikanske offentlige myndigheders side i de grundlæggende rettigheder for de personer, hvis oplysninger overføres fra EU til USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred med henblik på beskyttelse af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser, vil blive begrænset til det strengt nødvendige med henblik på at nå det tilsigtede legitime mål, og at der er en effektiv retsbeskyttelse mod sådanne indgreb.«

46

Artikel 1 i afgørelsen om værnet om privatlivets fred har følgende ordlyd:

»1.   Med henblik på artikel 25, stk. 2, i direktiv [95/46] sikrer USA et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred.

2.   [Den Europæiske Unions] og USA’s værn om privatlivets fred består af de principper, som er opstillet af det amerikanske handelsministerium den 7. juli 2016 som fastsat i bilag II og de officielle udredninger og tilsagn indeholdt i de dokumenter, der er opført i bilag I og III-VII.

3.   Med henblik på stk. 1 overføres personoplysninger under [Den Europæiske Unions] og USA’s værn om privatlivets fred, hvis de overføres fra EU til foretagender i USA, der er opført på »listen over deltagere i værnet om privatlivets fred«, som føres og offentliggøres af det amerikanske handelsministerium i overensstemmelse med afsnit I og III i principperne i bilag II.«

47

Bilag II til afgørelsen om værnet om privatlivets fred, der har overskriften »Principperne i ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred fra det amerikanske handelsministerium«, fastsætter i punkt I.5., at tilslutning til disse principper navnlig kan være begrænset »til et niveau, der er tilstrækkeligt til at opfylde kravene med hensyn til den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen«.

48

Bilag III til denne afgørelse indeholder en skrivelse af 7. juli 2016 fra den daværende Secretary of State (udenrigsminister, USA), John Kerry, til kommissæren for retlige anliggender, forbrugere og ligestilling mellem mænd og kvinder, der som bilag A er vedlagt et memorandum med overskriften »Ombudsmandsmekanismen i [Den Europæiske Unions] og USA’s værn om privatlivets fred Signalefterretning«, som indeholder følgende passage:

»I erkendelse af betydningen af ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred redegøres i dette memorandum for processen til gennemførelse af en ny mekanisme i henhold til Presidential Policy Directive 28 (PPD-28) om signalefterretninger […]

[…] Præsident Obama annoncerede udstedelsen af et nyt præsidentielt direktiv, PPD-28, der »skal beskrive klart, hvad vi gør og ikke gør, når det kommer til oversøisk overvågning«.

I medfør af Section 4(d) i PPD-28 skal den amerikanske udenrigsminister udpege en »Senior Coordinator for International Information Technology Diplomacy« (seniorkoordinator), der skal »[…] være kontaktpunkt for udenlandske regeringer, der ønsker at rejse spørgsmål om amerikanske signalefterretningsaktiviteter«.

[…]

1)

Seniorkoordinatoren vil fungere som ombudsmanden i værnet om privatlivets fred og […] vil arbejde tæt sammen med relevante embedsmænd i andre ministerier og agenturer med ansvar for behandling af anmodninger i henhold til gældende amerikanske love og politikker. Ombudsmanden er uafhængig af efterretningstjenesterne. Ombudsmanden indberetter direkte til den amerikanske udenrigsminister, der sørger for, at ombudsmanden udøver sin funktion på objektiv vis og fri for indflydelse, som kan påvirke de svar, der skal gives.

[…]«

49

Bilag VI til afgørelsen om værnet om privatlivets fred indeholder en skrivelse af 21. juni 2016 fra Office of the Director of National Intelligence (kontoret for direktøren for den nationale efterretningstjeneste) til den amerikanske handelsminister og til International Trade Administration, hvori det er præciseret, at PPD-28 tillader, at der foretages »»masseindsamling« […] af et forholdsvist højt antal signalefterretningsoplysninger eller ‑data under omstændigheder, hvor efterretningstjenesterne ikke kan anvende en identifikator knyttet til et specifikt mål […] for at målrette indsamlingen«.

Tvisten i hovedsagen og de præjudicielle spørgsmål

50

Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008.

51

Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, skal i forbindelse med sin registrering indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere i USA, der tilhører Facebook Inc., hvor de er genstand for en behandling.

52

Den 25. juni 2013 indgav Maximillian Schrems en klage til Commissioner, hvori han i det væsentlige anmodede denne om at forbyde Facebook Ireland at overføre hans personoplysninger til USA, idet han anførte, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Denne klage blev afslået bl.a. med den begrundelse, at Kommissionen i beslutning 2000/520 havde fastslået, at USA sikrede et tilstrækkeligt beskyttelsesniveau.

53

High Court (ret i første instans, Irland), ved hvilken Maximillian Schrems anlagde sag til prøvelse af afslaget på klagen, anmodede Domstolen om en præjudiciel afgørelse vedrørende fortolkningen og gyldigheden af beslutning 2000/520. Ved dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), fastslog Domstolen, at denne beslutning var ugyldig.

54

Efter den nævnte dom annullerede den forelæggende ret afslaget på Maximillian Schrems’ klage og hjemviste klagen til Commissioner. I forbindelse med den undersøgelse, som Commissioner indledte, forklarede Facebook Ireland, at en stor del af personoplysningerne blev overført til Facebook Inc. på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. Henset til disse oplysninger opfordrede Commissioner Maximillian Schrems til at omformulere sin klage.

55

Maximillian Schrems gjorde i sin således omformulerede klage, der blev indgivet den 1. december 2015, navnlig gældende, at Facebook Inc. efter amerikansk ret skal stille de personoplysninger, som overføres til det, til rådighed for de amerikanske myndigheder, såsom National Security Agency (NSA) (den nationale sikkerhedstjeneste) og Federal Bureau of Investigation (FBI) (den føderale efterforskningsmyndighed). Han anførte, at eftersom disse oplysninger blev anvendt i forbindelse med forskellige overvågningsprogrammer på en måde, som var uforenelig med chartrets artikel 7, 8 og 47, kunne afgørelsen om standardkontraktbestemmelser ikke begrunde overførslen af disse oplysninger til USA. Maximillian Schrems anmodede under disse omstændigheder Commissioner om at forbyde eller suspendere overførslen af hans personoplysninger til Facebook Inc.

56

Den 24. maj 2016 offentliggjorde Commissioner et »udkast til afgørelse« med en sammenfatning af de foreløbige konklusioner af dennes undersøgelse. I dette udkast anførte Commissioner foreløbigt, at der var risiko for, at unionsborgernes personoplysninger, som blev overført til USA, ville blive tilgået og behandlet af de amerikanske myndigheder på en måde, som var uforenelig med chartrets artikel 7 og 8, og at amerikansk ret ikke indeholdt retsmidler for borgerne, som var forenelige med chartrets artikel 47. Commissioner fandt, at standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser ikke kunne afhjælpe denne mangel, for så vidt som de kun gav de registrerede kontraktlige rettigheder mod dataeksportøren og dataimportøren, men imidlertid ikke var bindende for de amerikanske myndigheder.

57

Commissioner var under disse omstændigheder af den opfattelse, at Maximillian Schrems omformulerede klage rejste spørgsmålet om gyldigheden af afgørelsen om standardkontraktbestemmelser, og denne indbragte derfor den 31. maj 2016 under henvisning til den retspraksis, der følger af dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650, præmis 65), sagen for High Court (ret i første instans), med henblik på at denne forelagde Domstolen spørgsmålet herom. Ved afgørelse af 4. maj 2018 har High Court (ret i første instans) indgivet den foreliggende anmodning om præjudiciel afgørelse til Domstolen.

58

High Court (ret i første instans) har som bilag til den præjudicielle forelæggelse vedlagt en dom afsagt den 3. oktober 2017, hvori den har anført resultaterne af undersøgelsen af de beviser, der blev fremlagt for den i forbindelse med den nationale procedure, som den amerikanske regering deltog i.

59

I den nævnte dom, som der flere gange henvises til i anmodningen om præjudiciel afgørelse, har den forelæggende ret anført, at den principielt ikke alene har ret, men også pligt til at undersøge samtlige faktiske omstændigheder og argumenter, som gøres gældende for den, for på grundlag heraf at afgøre, om en præjudiciel forelæggelse er nødvendig. Den har under alle omstændigheder pligt til at tage hensyn til eventuelle ændringer af lovgivningen i perioden mellem sagens anlæggelse og afholdelsen af retsmødet for den. Den forelæggende ret har præciseret, at dens egen bedømmelse i forbindelse med hovedsagen ikke er begrænset til de ugyldighedsanbringender, som Commissioner har fremsat, idet den også kan rejse andre gyldighedsspørgsmål ex officio og på grundlag heraf foretage en præjudiciel forelæggelse.

60

Ifølge konstateringerne i den nævnte dom er de amerikanske myndigheders efterretningsaktiviteter for så vidt angår personoplysninger, der overføres til USA, navnlig baseret på FISA’s section 702 og på E.O. 12333.

61

Hvad angår FISA’s section 702 har den forelæggende ret i samme dom præciseret, at denne bestemmelse giver justitsministeren og direktøren for den nationale efterretningstjeneste mulighed for i fællesskab, efter at have opnået FISC’s godkendelse, at give tilladelse til, at der med henblik på at indsamle »udenlandske efterretningsoplysninger« foretages overvågning af personer, som ikke er amerikanske statsborgere, og som befinder sig uden for USA’s område, navnlig som grundlag for overvågningsprogrammerne Prism og Upstream. I forbindelse med Prism-programmet har internetudbydere ifølge den forelæggende rets konstateringer pligt til at videregive al kommunikation, der sendes til eller modtages fra en »selektor«, idet en del af denne kommunikation ligeledes videregives til FBI og Central Intelligence Agency (CIA) (den centrale efterretningstjeneste).

62

Hvad angår Upstream-programmet har den forelæggende ret anført, at de televirksomheder, der benytter internettets »rygrad« – dvs. kabelnetværket, switchere og routere – i forbindelse med dette program er tvunget til at give NSA mulighed for at kopiere og filtrere internettrafikken for at indsamle kommunikation, der sendes af eller modtages af eller vedrører ikke-amerikanske personer, der er omfattet af en »selektor«. I forbindelse med dette program har NSA ifølge den forelæggende rets konstateringer adgang til såvel metadata som indholdet af den omhandlede kommunikation.

63

Med hensyn til E.O. 12333 har den forelæggende ret anført, at dette gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser. Den forelæggende ret har præciseret, at de aktiviteter, som udføres på grundlag af E.O. 12333, ikke er reguleret ved lov.

64

Med hensyn til de begrænsninger, der gælder for efterretningsaktiviteter, har den forelæggende ret fremhævet det forhold, at ikke-amerikanske personer alene er omfattet af PPD-28, og at det heri blot er angivet, at efterretningsaktiviteterne skal være »så målrettede som muligt« (as tailored as feasible). Denne ret er på baggrund af sine konstateringer af den opfattelse, at USA foretager behandling af massedata uden at sikre en beskyttelse, som i det væsentlige svarer til den, der er garanteret ved chartrets artikel 7 og 8.

65

Med hensyn til domstolsbeskyttelsen har den forelæggende ret anført, at unionsborgere ikke har adgang til de samme retsmidler, som amerikanske statsborgere har til prøvelse af de amerikanske myndigheders behandlinger af personoplysninger, eftersom den fjerde tillægsbestemmelse til Constitution of the United States (USA’s forfatning), der i amerikansk ret udgør den vigtigste beskyttelse mod ulovlig overvågning, ikke finder anvendelse på unionsborgere. Den forelæggende ret har i denne forbindelse præciseret, at de retsmidler, som er til rådighed for unionsborgere, er forbundet med væsentlige forhindringer, navnlig i form af forpligtelsen til at godtgøre søgsmålskompetence – en betingelse, som efter den forelæggende rets opfattelse er uforholdsmæssigt vanskelig at opfylde. Ifølge den forelæggende rets konstateringer er de aktiviteter, som NSA udfører på grundlag af E.O. 12333, i øvrigt ikke underlagt et retsligt tilsyn og kan ikke gøres til genstand for domstolsprøvelse. Endelig finder den forelæggende ret, at eftersom ombudsmanden i værnet om privatlivets fred efter dens opfattelse ikke udgør en domstol som omhandlet i chartrets artikel 47, sikrer amerikansk ret ikke unionsborgerne et beskyttelsesniveau, der i det væsentlige svarer til det, som den grundlæggende rettighed i henhold til denne artikel garanterer.

66

Den forelæggende ret har i anmodningen om præjudiciel afgørelse endvidere præciseret, at hovedsagens parter navnlig er uenige om, hvorvidt EU-retten finder anvendelse på overførsler til et tredjeland af personoplysninger, der kan blive behandlet af dette lands myndigheder, bl.a. af hensyn til den nationale sikkerhed, og om, hvilke forhold der skal tages i betragtning ved vurderingen af, om dette land sikrer et tilstrækkeligt beskyttelsesniveau. Den forelæggende ret har navnlig fremhævet, at ifølge Facebook Ireland er Kommissionens konstateringer vedrørende tilstrækkeligheden af beskyttelsesniveauet i et tredjeland – såsom de konstateringer, der er foretaget i afgørelsen om værnet om privatlivets fred – også bindende for tilsynsmyndighederne i forbindelse med en overførsel af personoplysninger baseret på standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser.

67

Hvad angår disse standardbestemmelser om databeskyttelse er den forelæggende ret i tvivl om, hvorvidt afgørelsen om standardkontraktbestemmelser kan anses for at være gyldig, når de nævnte standardbestemmelser ifølge denne ret ikke er bindende for de statslige myndigheder i det pågældende tredjeland og derfor ikke kan afhjælpe et eventuelt manglende tilstrækkeligt beskyttelsesniveau i dette land. I denne henseende er den forelæggende ret af den opfattelse, at den mulighed, som medlemsstaternes kompetente myndigheder har i henhold til artikel 4, stk. 1, litra a), i afgørelsen om standardkontraktbestemmelser, i den affattelse, der var gældende før ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, for at forbyde videregivelse af personoplysninger til et tredjeland, som pålægger dataimportøren krav, som er uforenelige med de garantier, der er indeholdt i disse bestemmelser, viser, at tredjelandets retstilstand kan begrunde et forbud mod en overførsel af oplysninger, selv om den sker på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, og således tydeliggør, at disse kan være utilstrækkelige til at sikre en tilstrækkelig beskyttelse. Den forelæggende ret er imidlertid i tvivl om rækkevidden af Commissioners beføjelse til at forbyde en overførsel af oplysninger på grundlag af disse bestemmelser, idet den samtidig er af den opfattelse, at en skønsbeføjelse ikke kan være tilstrækkelig til at sikre en tilstrækkelig beskyttelse.

68

Under disse omstændigheder har High Court (ret i første instans) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Under omstændigheder, hvor et privat selskab [overfører] personoplysninger fra en medlemsstat i [Unionen] til et privat selskab i et tredjeland med et forretningsmæssigt formål i medfør af [afgørelsen om standardkontraktbestemmelser] […], og hvor personoplysningerne kan undergå yderligere behandling i dette tredjeland af myndighederne af hensyn til den nationale sikkerhed, men også med henblik på retshåndhævelse og tredjelandets håndtering af udenrigsanliggender, finder EU-retten (herunder [chartret]) da anvendelse på [overførslen] af oplysninger uanset bestemmelserne i artikel 4, stk. 2, TEU om national sikkerhed og bestemmelserne i artikel 3, stk. 2, første led, i direktiv 95/46[…] om offentlig sikkerhed, forsvar og statens sikkerhed?

2)

a)

Ved afgørelsen af, om der er tale om krænkelse af en privatpersons rettigheder ved [overførslen] af oplysninger fra [Unionen] til et tredjeland i henhold til [afgørelsen om standardkontraktbestemmelser], hvor oplysningerne kan undergå yderligere behandling af hensyn til den nationale sikkerhed, er det relevante sammenligningsgrundlag med henblik på direktiv [95/46] da:

i)

chartret, [EU-traktaten], [EUF-traktaten], direktiv [95/46] og [den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950] (eller andre EU-retlige bestemmelser) eller

ii)

en eller flere medlemsstaters nationale ret?

b)

Hvis det relevante sammenligningsgrundlag er [ii)], skal praksis i sammenhæng med den nationale sikkerhed i en eller flere medlemsstater da også medtages i sammenligningsgrundlaget?

3)

Ved bedømmelsen af, om et tredjeland sikrer det i EU-retten krævede beskyttelsesniveau for personoplysninger, der [overføres] til det pågældende land som omhandlet i […] artikel 26 [i direktiv 95/46], bør beskyttelsesniveauet i tredjelandet da bedømmes under henvisning til:

a)

de gældende regler i tredjelandet, der følger af dettes nationale ret eller internationale forpligtelser, og praksis, der skal sikre overholdelsen af disse regler, herunder faglige regler og sikkerhedsforanstaltninger, som overholdes i tredjelandet,

eller

b)

de regler, der er henvist til under a), sammen med administrativ praksis, regulerings- og overholdelsespraksis samt de politiske garantier, procedurer, protokoller, tilsynsmekanismer og udenretslige midler, der findes i tredjelandet?

4)

Henset til de kendsgerninger, som High Court [(ret i første instans)] fastslog vedrørende amerikansk ret, krænker det da privatpersoners rettigheder i henhold til chartrets artikel 7 og/eller 8, hvis personoplysninger [overføres] fra [Unionen] til USA i henhold til [afgørelsen om standardkontraktbestemmelser]?

5)

Henset til de kendsgerninger, som High Court [(ret i første instans)] fastslog vedrørende amerikansk ret, hvis personoplysninger overføres fra [Unionen] til USA i henhold til [afgørelsen om standardkontraktbestemmelser]:

a)

overholder beskyttelsesniveauet i USA da [det væsentligste indhold] af en privatpersons ret til et retsmiddel i tilfælde af krænkelse af [den pågældendes] rettigheder vedrørende personoplysninger, der garanteres ved chartrets artikel 47?

Hvis svaret på [det femte spørgsmåls punkt] a) er bekræftende,

b)

er de begrænsninger, som amerikansk ret pålægger en privatpersons adgang til et retsmiddel i sammenhæng med USA’s nationale sikkerhed, da forholdsmæssige i den i chartrets artikel 52 omhandlede betydning og går ikke videre end det, der er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed?

6)

a)

Hvilket beskyttelsesniveau kræves der for personoplysninger, som [overføres] til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i overensstemmelse med Kommissionens afgørelse i henhold til artikel 26, stk. 4, [i direktiv 95/46,] i lyset af [dette] direktiv[s] bestemmelser, navnlig [dette direktivs] artikel 25 og 26 forstået i lyset af chartret?

b)

Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der [overføres] til et tredjeland i henhold til [afgørelsen om standardkontraktbestemmelser], opfylder kravene i direktiv [95/46] og chartret?

7)

Er det forhold, at standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, som kan pålægge dataimportøren at stille personoplysninger til rådighed for landets sikkerhedstjenester med henblik på yderligere behandling, i medfør af bestemmelser, der er fastsat i [afgørelsen om standardkontraktbestemmelser], til hinder for, at bestemmelserne yder tilstrækkelige garantier som forudsat i […] artikel 26, stk. 2 [i direktiv 95/46]?

8)

Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med [standardbestemmelserne om beskyttelse], […] artikel 25 og 26 [i direktiv 95/46] […] eller chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til […] artikel 28, stk. 3, [i direktiv 95/46] til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde i lyset af 11. betragtning til […] [afgørelsen om standardkontraktbestemmelser], eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?

9)

a)

Med henblik på anvendelsen af […] artikel 25, stk. 6, [i direktiv 95/46] udgør afgørelse[n »om værnet om privatlivets fred«] da en konstatering, der finder generel anvendelse, og som er bindende for databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau i den i […] artikel 25, stk. 2, [i direktiv 95/46] omhandlede forstand gennem landets nationale ret eller de internationale forpligtelser, det har påtaget sig?

b)

Hvis den ikke gør det, hvilken betydning, om nogen, har afgørelsen [»]om værnet af privatlivets fred[«] da ved den foretagne bedømmelse af, om de garantier, der gives for oplysninger, som er [overført] til USA i medfør af [afgørelsen om standardkontraktbestemmelser], er tilstrækkelige?

10)

Henset til High Courts [(ret i første instans)] konstateringer vedrørende amerikansk ret sikrer oprettelsen af ombudsmanden under værnet om privatlivets fred i henhold til bilag A til bilag III til afgørelsen om værnet om privatlivets fred, sammenholdt med den eksisterende ordning i USA, da, at USA stiller et med chartrets artikel 47 foreneligt retsmiddel til rådighed for de registrerede personer, hvis personoplysninger [overføres] til USA i henhold til [afgørelsen om standardkontraktbestemmelser]?

11)

Overtræder [afgørelsen om standardkontraktbestemmelser] chartrets artikel 7, 8 […] eller 47?«

Formaliteten vedrørende anmodningen om præjudiciel afgørelse

69

Facebook Ireland, den tyske regering og Det Forenede Kongeriges regering har gjort gældende, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling.

70

Hvad angår den indsigelse, som er rejst af Facebook Ireland, har dette selskab anført, at de bestemmelser i direktiv 95/46, som de præjudicielle spørgsmål er baseret på, er blevet ophævet ved databeskyttelsesforordningen.

71

Selv om det i denne henseende er korrekt, at direktiv 95/46 i henhold til databeskyttelsesforordningens artikel 94, stk. 1, er blevet ophævet med virkning fra den 25. maj 2018, var dette direktiv stadig i kraft den 4. maj 2018, som er datoen for den foreliggende anmodning om præjudiciel afgørelse, der indgik til Domstolen den 9. maj 2018. Desuden er artikel 3, stk. 2, første led, artikel 25 og 26 samt artikel 28, stk. 3, i direktiv 95/46, som de præjudicielle spørgsmål henviser til, i det væsentlige gengivet i henholdsvis artikel 2, stk. 2, og artikel 45, 46 og 58 i databeskyttelsesforordningen. Det bemærkes i øvrigt, at det påhviler Domstolen at fortolke alle de bestemmelser i EU-retten, som de nationale retter skal anvende for at træffe afgørelse i de for dem verserende tvister, også selv om disse bestemmelser ikke udtrykkeligt er omtalt i de præjudicielle spørgsmål, der forelægges den (dom af 2.4.2020, Ruska Federacija, C-897/19 PPU, EU:C:2020:262, præmis 43 og den deri nævnte retspraksis). Af disse forskellige grunde kan den omstændighed, at den forelæggende ret har formuleret de præjudicielle spørgsmål alene under henvisning til bestemmelserne i direktiv 95/46, ikke medføre, at den foreliggende anmodning om præjudiciel afgørelse skal afvises.

72

Den tyske regering har støttet sin formalitetsindsigelse på den omstændighed dels, at Commissioner kun har udtrykt tvivl og ikke en endelig opfattelse med hensyn til spørgsmålet om gyldigheden af afgørelsen om standardkontraktbestemmelser, dels at den forelæggende ret har afholdt sig fra at undersøge, om Maximillian Schrems utvivlsomt havde givet samtykke til de i hovedsagen omhandlede overførsler af oplysninger, hvilket i givet fald ville gøre det ufornødent at besvare dette spørgsmål. Endelig er de præjudicielle spørgsmål ifølge Det Forenede Kongeriges regering af hypotetisk karakter, eftersom den forelæggende ret ikke har konstateret, at disse oplysninger faktisk blev overført på grundlag af denne afgørelse.

73

Det følger af Domstolens faste praksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Heraf følger, at der foreligger en formodning for, at spørgsmål, som er forelagt af de nationale retter, er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af disse spørgsmål (dom af 16.6.2015, Gauweiler m.fl., C-62/14, EU:C:2015:400, præmis 24 og 25, af 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, præmis 45, og af 19.12.2019, Dobersberger, C-16/18, EU:C:2019:1110, præmis 18 og 19).

74

I den foreliggende sag indeholder anmodningen om præjudiciel afgørelse tilstrækkelige faktiske og retlige oplysninger til at forstå rækkevidden af de præjudicielle spørgsmål. Endvidere er der, hvad vigtigere er, intet i sagsakterne for Domstolen, som giver anledning til at fastslå, at den ønskede fortolkningen af EU-retten skulle savne forbindelse med realiteten i hovedsagen eller dennes genstand eller være af hypotetisk karakter, navnlig grundet den omstændighed, at den i hovedsagen omhandlede overførsel af personoplysninger skulle være baseret på den registreredes udtrykkelige samtykke til denne overførsel og ikke på afgørelsen om standardkontraktbestemmelser. Ifølge oplysningerne i denne anmodning har Facebook Ireland nemlig anerkendt, at det overfører personoplysninger om sine brugere med bopæl i Unionen til Facebook Inc., og at en stor del af disse overførsler, hvis lovlighed Maximillian Schrems anfægter, foretages på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser.

75

Det er i øvrigt uden betydning for spørgsmålet, om den foreliggende anmodning om præjudiciel afgørelse kan antages til realitetsbehandling, at Commissioner ikke har givet udtryk for en endelig opfattelse vedrørende gyldigheden af denne afgørelse, eftersom den forelæggende ret er af den opfattelse, at besvarelsen af de præjudicielle spørgsmål vedrørende fortolkningen og gyldigheden af EU-retlige regler er nødvendig for afgørelsen af tvisten i hovedsagen.

76

Anmodningen om præjudiciel afgørelse kan derfor antages til realitetsbehandling.

Om de præjudicielle spørgsmål

77

Indledningsvis bemærkes, at oprindelsen til den foreliggende anmodning om præjudiciel afgørelse er en klage indgivet af Maximillian Schrems, hvori han har anmodet Commissioner om at træffe beslutning om fremadrettet at suspendere eller forbyde Facebook Irelands overførsel af hans personoplysninger til Facebook Inc. Selv om de præjudicielle spørgsmål henviser til bestemmelserne i direktiv 95/46, er det imidlertid ubestridt, at Commissioner endnu ikke havde truffet nogen endelig afgørelse vedrørende denne klage, da dette direktiv blev ophævet og erstattet af databeskyttelsesforordningen med virkning fra den 25. maj 2018.

78

Den omstændighed, at der ikke foreligger en national afgørelse, betyder, at den situation, der er omhandlet i hovedsagen, adskiller sig fra de situationer, der gav anledning til dom af 24. september 2019, Google (territorial rækkevidde af retten til at få fjernet links) (C-507/17, EU:C:2019:772), og af 1. oktober 2019, Planet49 (C-673/17, EU:C:2019:801), som omhandlede afgørelser, der var vedtaget før ophævelsen af det nævnte direktiv.

79

De præjudicielle spørgsmål skal derfor besvares på grundlag af bestemmelserne i databeskyttelsesforordningen og ikke bestemmelserne i direktiv 95/46.

Det første spørgsmål

80

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 2, stk. 1, og artikel 2, stk. 2, litra a), b) og d), sammenholdt med artikel 4, stk. 2, TEU, skal fortolkes således, at en overførsel af personoplysninger, der foretages af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, når disse oplysninger under eller efter overførslen kan blive behandlet af dette tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

81

Det skal i denne forbindelse indledningsvis bemærkes, at bestemmelsen i artikel 4, stk. 2, TEU, hvorefter den nationale sikkerhed inden for Unionen forbliver den enkelte medlemsstats eneansvar, alene vedrører EU-medlemsstaterne. Denne bestemmelse er derfor ikke relevant i den foreliggende sag ved fortolkningen af databeskyttelsesforordningens artikel 2, stk. 1, og artikel 2, stk. 2, litra a), b) og d).

82

I henhold til databeskyttelsesforordningens artikel 2, stk. 1, finder denne anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. I forordningens artikel 4, nr. 2), defineres begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«, og som eksempler nævnes »videregivelse ved transmission, formidling eller enhver anden form for overladelse«, uden at der sondres mellem, om aktiviteterne foretages inden for Unionen eller har forbindelse til et tredjeland. Den nævnte forordning underkaster desuden overførsler af personoplysninger til tredjelande særlige regler, som findes i dens kapitel V, der har overskriften »Overførsler af personoplysninger til tredjelande eller internationale organisationer«, og samme forordning giver i øvrigt i denne henseende tilsynsmyndighederne specifikke beføjelser, som er angivet i artikel 58, stk. 2, litra j).

83

Det følger heraf, at den transaktion, der består i at overføre personoplysninger fra en medlemsstat til et tredjeland, som sådan udgør en behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), foretaget på en medlemsstats område, som denne forordning finder anvendelse på i henhold til dens artikel 2, stk. 1 [jf. analogt for så vidt angår artikel 2, litra b), og artikel 3, stk. 1, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 45 og den deri nævnte retspraksis].

84

Hvad angår spørgsmålet om, hvorvidt en sådan transaktion kan anses for at være udelukket fra anvendelsesområdet for databeskyttelsesforordningen i henhold til dennes artikel 2, stk. 2, bemærkes, at denne bestemmelse fastsætter undtagelser fra forordningens anvendelsesområde som defineret i dens artikel 2, stk. 1, og at disse undtagelser skal fortolkes strengt (jf. analogt for så vidt angår artikel 3, stk. 2, i direktiv 95/46 dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 37 og den deri nævnte retspraksis).

85

Eftersom den i hovedsagen omhandlede overførsel af personoplysninger blev foretaget af Facebook Ireland til Facebook Inc., dvs. mellem to juridiske personer, er overførslen i det foreliggende tilfælde ikke omfattet af databeskyttelsesforordningens artikel 2, stk. 2, litra c), der omhandler behandling af oplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Den nævnte overførsel er heller ikke omfattet af undtagelserne i denne forordnings artikel 2, stk. 2, litra a), b) og d), eftersom de aktiviteter, der er nævnt som eksempler heri, under alle omstændigheder er statens eller statslige myndigheders aktiviteter, og de vedrører ikke området for den enkelte borgers aktiviteter (jf. analogt for så vidt angår artikel 3, stk. 2, i direktiv 95/46 dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 38 og den deri nævnte retspraksis).

86

Den mulighed, at personoplysninger, der overføres mellem to erhvervsdrivende til forretningsmæssige formål, under eller efter overførslen bliver behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed, kan ikke udelukke en sådan overførsel fra anvendelsesområdet for databeskyttelsesforordningen.

87

Ved udtrykkeligt at forpligte Kommissionen til ved vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, bl.a. at tage hensyn til »relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning« fremhæver selve ordlyden af denne forordnings artikel 45, stk. 2, litra a), i øvrigt, at et tredjelands eventuelle behandling af de pågældende oplysninger af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed ikke skaber usikkerhed om, at forordningen finder anvendelse på den omhandlede overførsel.

88

Det følger heraf, at en sådan overførsel ikke kan undtages fra databeskyttelsesforordningens anvendelsesområde af den grund, at de omhandlede oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

89

Det første spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 2, stk. 1 og 2, skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

Det andet, det tredje og det sjette spørgsmål

90

Med det andet, det tredje og det sjette spørgsmål anmoder den forelæggende ret nærmere bestemt Domstolen om at oplyse, hvilket beskyttelsesniveau der kræves efter databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forbindelse med en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse. Den forelæggende ret anmoder navnlig Domstolen om at præcisere, hvilke forhold der skal tages i betragtning ved afgørelsen af, om dette beskyttelsesniveau er sikret i forbindelse med en sådan overførsel.

91

Med hensyn til det krævede beskyttelsesniveau følger det af disse bestemmelser, når de sammenholdes, at hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til forordningens artikel 45, stk. 3, må den dataansvarlige eller databehandleren kun overføre personoplysninger til et tredjeland, hvis vedkommende har givet de »fornødne garantier«, og på betingelse af at »rettigheder, som kan håndhæves, og effektive retsmidler« er tilgængelige for de registrerede, idet disse fornødne garantier navnlig kan sikres gennem standardbestemmelser om databeskyttelse vedtaget af Kommissionen.

92

Selv om databeskyttelsesforordningens artikel 46 ikke nærmere angiver karakteren af de krav, der følger af denne henvisning til »fornødne garantier«, til »rettigheder, som kan håndhæves«, og til »effektive retsmidler«, skal det bemærkes, at denne artikel findes i forordningens kapitel V og derfor skal læses i sammenhæng med artikel 44, der har overskriften »Generelt princip for overførsler«, og som bestemmer, at »[a]lle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres«. Dette beskyttelsesniveau skal derfor være garanteret, uanset hvilken bestemmelse i det nævnte kapitel en overførsel af personoplysninger til et tredjeland er baseret på.

93

Som generaladvokaten har anført i punkt 117 i forslaget til afgørelse, tager bestemmelserne i databeskyttelsesforordningens kapitel V nemlig sigte på at sikre opretholdelsen af det høje niveau for denne beskyttelse ved overførsel af personoplysninger til et tredjeland, i overensstemmelse med det formål, som er angivet i sjette betragtning til denne forordning.

94

Databeskyttelsesforordningens artikel 45, stk. 1, første punktum, fastsætter, at overførsel af personoplysninger til et tredjeland kan være tilladt ved en afgørelse truffet af Kommissionen, hvorefter dette tredjeland, et område eller en eller flere specifikke sektorer i dette har et tilstrækkeligt beskyttelsesniveau. I denne henseende kræver udtrykket »et tilstrækkeligt beskyttelsesniveau« ikke, at det pågældende tredjeland garanterer et beskyttelsesniveau, som er identisk med det niveau, som er sikret i Unionens retsorden, men det skal, således som det bekræftes i 104. betragtning til denne forordning, forstås således, at det opstiller et krav om, at dette tredjeland som følge af sin nationale lovgivning eller sine internationale forpligtelser faktisk sikrer et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af den nævnte forordning, sammenholdt med chartret. Såfremt der ikke blev opstillet et sådant krav, ville det formål, som er anført i den foregående præmis, nemlig være tilsidesat (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 73).

95

I denne sammenhæng er det i 107. betragtning til databeskyttelsesforordningen anført, at når »et tredjeland, et område eller en specifik sektor i et tredjeland […] ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau[, bør] [o]verførsel af personoplysninger til et sådant tredjeland […] forbydes, medmindre kravene i denne forordning vedrørende overførsel omfattet af fornødne garantier […] er opfyldt«. I denne henseende er det i 108. betragtning til den nævnte forordning præciseret, at i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet skal de fornødne garantier, som det tilkommer den dataansvarlige eller databehandleren at give i overensstemmelse med samme forordnings artikel 46, stk. 1, »kompensere for den manglende databeskyttelse i et tredjeland« for at »sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen«.

96

Det følger heraf, således som generaladvokaten har anført i punkt 115 i forslaget til afgørelse, at disse »fornødne garantier« skal være af en sådan art, at de sikrer, at der for de personer, hvis personoplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret inden for Unionen, således som det er tilfældet for en overførsel baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

97

Den forelæggende ret ønsker ligeledes oplyst, om dette beskyttelsesniveau, der i det væsentlige skal svare til det niveau, der er sikret inden for Unionen, skal fastlægges på grundlag af EU-retten, herunder bl.a. de rettigheder, der er sikret ved chartret, og/eller på grundlag af de grundlæggende rettigheder, som er fastsat i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (herefter »EMRK«), eller på grundlag af medlemsstaternes nationale lovgivning.

98

I denne henseende bemærkes, at selv om de grundlæggende rettigheder, som er fastsat i EMRK, udgør generelle principper i EU-retten, således som det bekræftes af artikel 6, stk. 3, TEU, og selv om chartrets artikel 52, stk. 3, bestemmer, at de af chartrets rettigheder, som svarer til dem, der er sikret ved EMRK, har samme betydning og omfang som i nævnte konvention, udgør EMRK ikke et retligt instrument, der er formelt integreret i Unionens retsorden, idet Unionen ikke har tiltrådt den (dom af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 44 og den deri nævnte retspraksis, og af 20.3.2018, Menci, C-524/15, EU:C:2018:197, præmis 22).

99

Domstolen har under disse omstændigheder fastslået, at fortolkningen af EU-retten og prøvelsen af gyldigheden af EU-retsakter skal foretages i lyset af de grundlæggende rettigheder, der er garanteret ved chartret (jf. analogt dom af 20.3.2018, Menci, C-524/15, EU:C:2018:197, præmis 24).

100

Det fremgår i øvrigt af fast retspraksis, at spørgsmålet om gyldigheden af EU-retlige bestemmelser og, i mangel af en udtrykkelig henvisning til medlemsstaternes ret, fortolkningen af disse ikke kan bedømmes under hensyn til denne nationale ret, selv om den har forfatningsrang, herunder navnlig de grundlæggende rettigheder, således som de er udformet i medlemsstaternes nationale forfatning (jf. i denne retning dom af 17.12.1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, præmis 3, af 13.12.1979, Hauer, 44/79, EU:C:1979:290, præmis 14, og af 18.10.2016, Nikiforidis, C-135/15, EU:C:2016:774, præmis 28 og den deri nævnte retspraksis).

101

Det følger heraf, at eftersom en overførsel af personoplysninger som den i hovedsagen omhandlede, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, for det første, således som det fremgår af besvarelsen af det første spørgsmål, er omfattet af databeskyttelsesforordningens anvendelsesområde, og denne forordning for det andet, således som det fremgår af tiende betragtning til denne, har til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer inden for Unionen og med henblik herpå sikre, at reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen, skal det niveau for beskyttelse af de grundlæggende rettigheder, som kræves i henhold til denne forordnings artikel 46, stk. 1, fastlægges på grundlag af bestemmelserne i netop denne forordning, sammenholdt med de grundlæggende rettigheder, som er sikret ved chartret.

102

Den forelæggende ret ønsker endvidere oplyst, hvilke forhold der skal tages i betragtning ved afgørelsen af, om et tilstrækkeligt beskyttelsesniveau er sikret i forbindelse med en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget i henhold til databeskyttelsesforordningens artikel 46, stk. 2, litra c).

103

I denne henseende opregner denne bestemmelse ganske vist ikke de forskellige forhold, der skal tages i betragtning ved vurderingen af, om et tilstrækkeligt beskyttelsesniveau er sikret i forbindelse med en sådan overførsel, men det er i forordningens artikel 46, stk. 1, præciseret, at de registrerede skal være omfattet af fornødne garantier samt have rettigheder, der kan håndhæves, og effektive retsmidler.

104

Ved den vurdering, der med henblik herpå kræves i forbindelse med en sådan overførsel, skal der navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, som er etableret i Unionen, og modtageren af overførslen, som er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de overførte personoplysninger – til de relevante forhold i dettes retssystem. Hvad det sidstnævnte angår svarer de forhold, der skal tages i betragtning i forbindelse med den nævnte forordnings artikel 46, til de elementer, som på ikke udtømmende vis er opregnet i dens artikel 45, stk. 2.

105

Det andet, det tredje og det sjette spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Unionen ved denne forordning, sammenholdt med chartret. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Unionen, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

Det ottende spørgsmål

106

Med det ottende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), skal fortolkes således, at den kompetente tilsynsmyndighed har pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, når denne tilsynsmyndighed er af den opfattelse, at disse bestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at den beskyttelse af de overførte oplysninger, som kræves i henhold til EU-retten, herunder navnlig ved databeskyttelsesforordningens artikel 45 og 46 og chartret, ikke kan sikres, eller således, at udøvelsen af disse beføjelser er begrænset til undtagelsestilfælde.

107

I overensstemmelse med chartrets artikel 8, stk. 3, og databeskyttelsesforordningens artikel 51, stk. 1, og artikel 57, stk. 1, litra a), er de nationale tilsynsmyndigheder ansvarlige for at føre tilsyn med overholdelsen af EU-reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Hver af disse er derfor blevet tillagt beføjelse til at undersøge, om en overførsel af personoplysninger fra den medlemsstat, som myndigheden henhører under, til et tredjeland overholder de ved denne forordning fastsatte krav (jf. analogt for så vidt angår artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 47).

108

Det følger af disse bestemmelser, at tilsynsmyndighederne først og fremmest har til opgave at føre tilsyn med anvendelsen af databeskyttelsesforordningen og sikre dens overholdelse. Udførelsen af denne opgave er særligt vigtig i forbindelse med overførsel af personoplysninger til et tredjeland, for som det fremgår af selve ordlyden af 116. betragtning til denne forordning, »[kan det,] [n]år personoplysninger overføres på tværs af grænser uden for Unionen, […] medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger«. Som det er anført i samme betragtning, »må tilsynsmyndighederne [da] i nogle tilfælde konstatere, at de er ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser«.

109

I henhold til databeskyttelsesforordningens artikel 57, stk. 1, litra f), skal hver tilsynsmyndighed desuden på sit område behandle de klager, som enhver registreret i henhold til denne forordnings artikel 77, stk. 1, har ret til at indgive, når den pågældende finder, at en behandling af personoplysninger vedrørende vedkommende overtræder den nævnte forordning, og, for så vidt det er nødvendigt, undersøge genstanden for klagen. Tilsynsmyndigheden skal behandle en sådan klage med den fornødne omhu (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 63).

110

Ifølge databeskyttelsesforordningens artikel 78, stk. 1 og 2, har enhver ret til effektive retsmidler, navnlig hvis tilsynsmyndigheden undlader at behandle den pågældendes klage. I 141. betragtning til denne forordning henvises der ligeledes til denne »adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret«, hvis tilsynsmyndigheden »ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder«.

111

Med henblik på behandlingen af de indgivne klager tillægger databeskyttelsesforordningens artikel 58, stk. 1, hver tilsynsmyndighed væsentlige undersøgelsesbeføjelser. Når en sådan myndighed i forbindelse med sin undersøgelse finder, at den registrerede, hvis personoplysninger er blevet overført til et tredjeland, ikke nyder godt af et tilstrækkeligt beskyttelsesniveau i dette land, har den i henhold til EU-retten pligt til at reagere på en passende måde med henblik på at afhjælpe det konstaterede utilstrækkelige beskyttelsesniveau, uanset hvad der er årsagen til eller karakteren af denne utilstrækkelighed. Med henblik herpå opregnes i forordningens artikel 58, stk. 2, de forskellige korrigerende foranstaltninger, som tilsynsmyndigheden kan vedtage.

112

Selv om det er op til tilsynsmyndigheden at vælge det middel, som er hensigtsmæssigt og nødvendigt, og selv om denne myndighed skal foretage dette valg under hensyntagen til samtlige omstændigheder i forbindelse med den omhandlede overførsel af personoplysninger, har den dog pligt til at gøre dette med den fornødne omhu, som kræves af dens opgave bestående i at sikre den fulde overholdelse af databeskyttelsesforordningen.

113

I denne henseende har tilsynsmyndigheden i henhold til denne forordnings artikel 58, stk. 2, litra f) og j), således som generaladvokaten ligeledes har anført i punkt 148 i forslaget til afgørelse, pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland, såfremt den i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at standardbestemmelserne om databeskyttelse ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

114

Den i den foregående præmis anførte fortolkning afkræftes ikke af Commissioners argumentation om, at artikel 4 i afgørelsen om standardkontraktbestemmelser i den affattelse, der var gældende inden ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, sammenholdt med 11. betragtning til denne afgørelse, begrænsede tilsynsmyndighedernes beføjelse til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland til undtagelsestilfælde. I den affattelse, der følger af gennemførelsesafgørelse 2016/2297, henvises der nemlig i artikel 4 i afgørelsen om standardkontraktbestemmelser til den beføjelse, som disse myndigheder nu har i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), til at suspendere eller forbyde en sådan overførsel, uden at udøvelsen af denne beføjelse på nogen måde begrænses til undtagelsestilfælde.

115

Under alle omstændigheder giver den gennemførelsesbeføjelse, som Kommissionen er indrømmet ved databeskyttelsesforordningens artikel 46, stk. 2, litra c), med henblik på vedtagelse af standardbestemmelser om databeskyttelse, ikke Kommissionen kompetence til at begrænse de beføjelser, som tilsynsmyndighederne har i medfør af denne forordnings artikel 58, stk. 2 (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 102 og 103). I øvrigt bekræfter femte betragtning til gennemførelsesafgørelse 2016/2297, at afgørelsen om standardkontraktbestemmelser »[ikke] forhindrer […] en […] tilsynsmyndighed i at udøve sine beføjelser til at overvåge videregivelser af oplysninger, herunder beføjelsen til at suspendere eller forbyde en videregivelse af personoplysninger, hvis den finder, at videregivelsen udføres i strid med EU’s databeskyttelsesregler eller de nationale databeskyttelsesregler«.

116

Det skal imidlertid præciseres, at den kompetente tilsynsmyndigheds beføjelser skal udøves under fuld overholdelse af den afgørelse, hvorved Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 1, første punktum, i givet fald har fastslået, at et bestemt tredjeland har et tilstrækkeligt beskyttelsesniveau. I et sådant tilfælde fremgår det nemlig af denne forordnings artikel 45, stk. 1, andet punktum, sammenholdt med 103. betragtning til denne, at overførsler af personoplysninger til det pågældende tredjeland kan finde sted, uden at det er nødvendigt at opnå en specifik godkendelse.

117

I medfør af artikel 288, stk. 4, TEUF er Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet bindende for alle de medlemsstater, som den er rettet til, og den omfatter derfor også samtlige deres organer, for så vidt som den fastslår, at det pågældende tredjeland garanterer et tilstrækkeligt beskyttelsesniveau, og bevirker, at der gives tilladelse til disse overførsler af oplysninger (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 51 og den deri nævnte retspraksis).

118

Så længe Domstolen ikke har fastslået, at afgørelsen om tilstrækkeligheden af beskyttelsesniveauet er ugyldig, kan medlemsstaterne og deres organer, herunder deres uafhængige tilsynsmyndigheder, således ikke vedtage foranstaltninger, der er i strid med denne afgørelse, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i afgørelsen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau (dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 52 og den deri nævnte retspraksis), og følgelig suspendere eller forbyde overførsler af personoplysninger til dette tredjeland.

119

En afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 3, kan imidlertid ikke forhindre de personer, hvis personoplysninger er blevet eller kan blive overført til et tredjeland, i at indgive en klage i henhold til databeskyttelsesforordningens artikel 77, stk. 1, til den kompetente nationale tilsynsmyndighed vedrørende beskyttelse af deres rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger. Tilsvarende kan en afgørelse af en sådan art hverken ophæve eller begrænse de beføjelser, der udtrykkeligt er tillagt de nationale tilsynsmyndigheder ved chartrets artikel 8, stk. 3, og ved den nævnte forordnings artikel 51, stk. 1, og artikel 57, stk. 1, litra a) (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 53).

120

Selv når der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Kommissionen, skal den kompetente nationale tilsynsmyndighed, for hvilken en person har indgivet en klage vedrørende beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med en behandling af personoplysninger vedrørende den pågældende, således i fuld uafhængighed kunne undersøge, om overførslen af disse oplysninger opfylder de ved databeskyttelsesforordningen fastsatte krav og, hvor det er relevant, kunne anlægge sag ved de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af dennes gyldighed (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 57 og 65).

121

Henset til ovenstående betragtninger skal det ottende spørgsmål besvares med, at databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig databeskyttelsesforordningens artikel 45 og 46 og chartret, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

Det syvende og det ellevte spørgsmål

122

Med det syvende og det ellevte spørgsmål, der skal behandles samlet, anmoder den forelæggende ret nærmere bestemt Domstolen om at tage stilling til gyldigheden af afgørelsen om standardkontraktbestemmelser i lyset af chartrets artikel 7, 8 og 47.

123

Som det fremgår af selve ordlyden af det syvende spørgsmål og forklaringerne hertil i anmodningen om præjudiciel afgørelse, er den forelæggende ret nærmere bestemt i tvivl om, hvorvidt afgørelsen om standardkontraktbestemmelser kan sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres til tredjelande, for så vidt som de heri fastsatte standardbestemmelser om databeskyttelse ikke er bindende for disse tredjelandes myndigheder.

124

Artikel 1 i afgørelsen om standardkontraktbestemmelser bestemmer, at de i bilaget til denne afgørelse fastsatte standardbestemmelser om databeskyttelse anses for at yde de fornødne garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i overensstemmelse med kravene i artikel 26, stk. 2, i direktiv 95/46. Sidstnævnte bestemmelse er i det væsentlige gentaget i databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c).

125

Mens disse standardbestemmelser er bindende for den dataansvarlige, som er etableret i Unionen, og modtageren af overførslen af personoplysninger, som er etableret i et tredjeland, såfremt de har indgået en kontrakt under henvisning til disse bestemmelser, er det ubestridt, at de ikke kan binde myndighederne i dette tredjeland, eftersom disse ikke er parter i kontrakten.

126

Selv om der således findes situationer, hvor modtageren af en sådan overførsel, under hensyn til retstilstanden og gældende praksis i det pågældende tredjeland, kan garantere den fornødne beskyttelse af oplysningerne alene på grundlag af standardbestemmelserne om databeskyttelse, er der andre situationer, hvor vilkårene i disse bestemmelser muligvis ikke udgør et tilstrækkeligt middel til at sikre den effektive beskyttelse af de personoplysninger, som er overført til det pågældende tredjeland, i praksis. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland tillader, at dets offentlige myndigheder gør indgreb i de registreredes rettigheder vedrørende disse oplysninger.

127

Spørgsmålet er derfor, om en afgørelse om standardbestemmelser om databeskyttelse vedtaget af Kommissionen på grundlag af databeskyttelsesforordningens artikel 46, stk. 2, litra c), er ugyldig, når den ikke indeholder garantier, som kan gøres gældende over for de offentlige myndigheder i de tredjelande, som personoplysninger bliver eller kan blive overført til på grundlag af disse bestemmelser.

128

Databeskyttelsesforordningens artikel 46, stk. 1, fastsætter, at hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler er tilgængelige for de registrerede. Ifølge denne forordnings artikel 46, stk. 2, litra c), kan disse garantier sikres gennem standardbestemmelser om databeskyttelse vedtaget af Kommissionen. Disse bestemmelser angiver imidlertid ikke, at samtlige disse garantier nødvendigvis skal være fastsat ved en afgørelse vedtaget af Kommissionen som f.eks. afgørelsen om standardkontraktbestemmelser.

129

Det skal i denne henseende bemærkes, at en sådan afgørelse adskiller sig fra en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget i henhold til databeskyttelsesforordningens artikel 45, stk. 3, der tager sigte på, at det – efter en undersøgelse af det pågældende tredjelands lovgivning og navnlig den relevante lovgivning om national sikkerhed og offentlige myndigheders adgang til personoplysninger – med bindende virkning konstateres, at et tredjeland, et område eller en eller flere specifikke sektorer i dette har et tilstrækkeligt beskyttelsesniveau, og at det forhold, at dette tredjelands offentlige myndigheder har adgang til sådanne oplysninger, derfor ikke er til hinder for overførsel af dem til samme tredjeland. En sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan således kun vedtages af Kommissionen på den betingelse, at den har konstateret, at dette tredjelands relevante lovgivning på området faktisk omfatter samtlige de fornødne garantier, som gør det muligt at lægge til grund, at den sikrer et tilstrækkeligt beskyttelsesniveau.

130

Derimod kan det hvad angår en afgørelse, hvorved Kommissionen har vedtaget standardbestemmelser om databeskyttelse, såsom afgørelsen om standardkontraktbestemmelser, for så vidt som en sådan afgørelse ikke tager sigte på et tredjeland, et område eller en eller flere specifikke sektorer i dette, ikke udledes af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), at Kommissionen inden vedtagelsen af en sådan afgørelse har pligt til at foretage en vurdering af tilstrækkeligheden af beskyttelsesniveauet i de tredjelande, hvortil personoplysninger kan blive overført på grundlag af sådanne bestemmelser.

131

I denne henseende bemærkes, at i henhold til denne forordnings artikel 46, stk. 1, påhviler det, hvis Kommissionen ikke har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, den dataansvarlige eller databehandleren, som er etableret i Unionen, navnlig at give de fornødne garantier. 108. og 114. betragtning til forordningen bekræfter, at hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller eventuelt dennes databehandler »træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede«, og at »[d]isse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, […] i Unionen eller et tredjeland«.

132

Eftersom det ligger i den kontraktlige karakter af standardbestemmelserne om databeskyttelse, at disse, således som det fremgår af nærværende doms præmis 125, ikke kan binde myndighederne i tredjelande, men databeskyttelsesforordningens artikel 44, artikel 46, stk. 1, og artikel 46, stk. 2, litra c), fortolket i lyset af chartrets artikel 7, 8 og 47, kræver, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres, kan det blive nødvendigt at supplere de garantier, som disse standardbestemmelser om databeskyttelse indeholder. I denne forbindelse er det i 109. betragtning til forordningen anført, at »[d]en dataansvarliges […] mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen […] [ikke bør] udelukke muligheden for, at den dataansvarlige […] medtager andre bestemmelser eller yderligere garantier«, og det er navnlig præciseret, at den dataansvarlige »bør tilskyndes til at give yderligere garantier […], der supplerer standardbestemmelserne om [data]beskyttelse«.

133

Det fremgår således, at de standardbestemmelser om databeskyttelse, som Kommissionen har vedtaget i medfør af databeskyttelsesforordningens artikel 46, stk. 2, litra c), alene tager sigte på at give dataansvarlige eller databehandlere, som er etableret i unionen, kontraktlige garantier, der anvendes ens i alle tredjelande og dermed uafhængigt af det beskyttelsesniveau, som garanteres i hvert af disse. For så vidt som disse standardbestemmelser om databeskyttelse, henset til deres karakter, ikke kan give garantier, der rækker videre end en kontraktlig forpligtelse til at sikre, at det beskyttelsesniveau, der kræves efter EU-retten, er overholdt, kan der i forhold til disse, afhængigt af situationen i tredjelandet eller tredjelandene, være behov for, at den dataansvarlige vedtager supplerende foranstaltninger for at sikre, at dette beskyttelsesniveau er overholdt.

134

I denne henseende forudsætter den kontraktmekanisme, der er fastsat i databeskyttelsesforordningens artikel 46, stk. 2, litra c), således som generaladvokaten har anført i punkt 126 i forslaget til afgørelse, at ansvaret placeres hos den dataansvarlige eller dennes databehandler, som er etableret i Unionen, og subsidiært hos den kompetente tilsynsmyndighed. Det tilkommer derfor først og fremmest den dataansvarlige eller dennes databehandler i hvert enkelt tilfælde og, hvor det er relevant, i samarbejde med modtageren af overførslen at undersøge, om lovgivningen i bestemmelsestredjelandet sikrer den fornødne beskyttelse henset til EU-retten af de personoplysninger, som overføres på grundlag af standardbestemmelser om databeskyttelse, ved efter behov at give supplerende garantier i forhold til de garantier, som disse bestemmelser yder.

135

Såfremt den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke er i stand til at træffe supplerende foranstaltninger, som er tilstrækkelige til at garantere en sådan beskyttelse, skal de, eller subsidiært den kompetente tilsynsmyndighed, suspendere eller indstille overførslen af personoplysninger til det pågældende tredjeland. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland pålægger modtageren af en overførsel af personoplysninger fra Unionen forpligtelser, som er i strid med disse bestemmelser og derfor kan bringe den kontraktlige garanti for en tilstrækkelig beskyttelse mod adgang for de offentlige myndigheder i tredjelandet til disse oplysninger i fare.

136

Den omstændighed alene, at standardbestemmelser om databeskyttelse i en afgørelse vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 46, stk. 2, litra c), såsom bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, ikke er bindende for myndighederne i de tredjelande, som personoplysninger kan blive overført til, kan derfor ikke påvirke gyldigheden af denne afgørelse.

137

Gyldigheden af en sådan afgørelse afhænger derimod af, om den i overensstemmelse med det krav, der følger af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), fortolket i lyset af chartrets artikel 7, 8 og 47, omfatter effektive mekanismer, som i praksis gør det muligt at sikre, at det i EU-retten krævede beskyttelsesniveau overholdes, og at overførslerne af personoplysninger på grundlag af sådanne bestemmelser suspenderes eller forbydes, hvis disse bestemmelser overtrædes, eller hvis det er umuligt at overholde dem.

138

Med hensyn til de garantier, som er fastsat i standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, fremgår det af standardbestemmelse 4, litra a) og b), standardbestemmelse 5, litra a), standardbestemmelse 9 og standardbestemmelse 11, stk. 1, at den dataansvarlige, som er etableret i Unionen, modtageren af overførslen af personoplysninger og dennes eventuelle databehandler gensidigt forpligter sig til at sikre, at behandlingen af oplysningerne, herunder videregivelsen af dem, har været, og fortsat vil være i overensstemmelse med »den gældende databeskyttelseslovgivning«, nemlig – ifølge definitionen i den nævnte afgørelses artikel 3, litra f) – »den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret«. Databeskyttelsesforordningens bestemmelser, sammenholdt med chartret, indgår i denne lovgivning.

139

Modtageren af overførslen af personoplysninger, som er etableret i et tredjeland, forpligter sig desuden i henhold til standardbestemmelse 5, litra a), til straks at underrette den dataansvarlige, som er etableret i Unionen, såfremt denne modtager eventuelt ikke er i stand til at overholde sine forpligtelser i henhold til den indgåede kontrakt. Ifølge standardbestemmelse 5, litra b), skal modtageren navnlig bekræfte, at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at overholde sine forpligtelser i henhold til den indgåede kontrakt, og han forpligter sig til, så snart han får kendskab til enhver ændring af den nationale lovgivning, han er underlagt, som sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, straks at give den dataansvarlige meddelelse herom. Selv om standardbestemmelse 5, litra d), nr. i), i øvrigt giver modtageren af overførslen af personoplysninger mulighed for ikke at give den dataansvarlige, som er etableret i Unionen, meddelelse om en retshåndhævende myndigheds retligt bindende anmodning om videregivelse af personoplysninger, såfremt der findes lovgivning, som forbyder ham dette, som f.eks. et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager, har han ikke desto mindre i henhold til standardbestemmelse 5, litra a), pligt til at underrette den dataansvarlige om, at han ikke er i stand til at overholde standardbestemmelserne om databeskyttelse.

140

Standardbestemmelse 5, litra a) og b), giver i de to tilfælde, som er omhandlet heri, den dataansvarlige, som er etableret i Unionen, ret til at suspendere dataoverførslen og/eller ophæve kontrakten. Under hensyn til de krav, der følger af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), sammenholdt med chartrets artikel 7 og 8, er suspension af dataoverførslen og/eller ophævelse af kontrakten obligatorisk for den dataansvarlige, når modtageren af overførslen ikke, eller ikke længere, er i stand til at overholde standardbestemmelserne om databeskyttelse. I modsat fald ville den dataansvarlige ikke overholde de krav, som denne er pålagt i henhold til standardbestemmelse 4, litra a), i bilaget til afgørelsen om standardkontraktbestemmelser fortolket i lyset af databeskyttelsesforordningens og chartrets bestemmelser.

141

Det fremgår således, at standardbestemmelse 4, litra a), og standardbestemmelse 5, litra a) og b), i det nævnte bilag pålægger den dataansvarlige, som er etableret i Unionen, og modtageren af overførslen af personoplysninger en pligt til at sikre, at lovgivningen i bestemmelsestredjelandet gør det muligt for denne modtager at overholde standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, inden en overførsel af personoplysninger til dette tredjeland foretages. Med hensyn til denne undersøgelse er det i fodnoten vedrørende standardbestemmelse 5 præciseret, at obligatoriske krav i denne lovgivning, som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund af hensyn til navnlig statens sikkerhed, forsvaret og den offentlige sikkerhed, ikke er i strid med disse standardbestemmelser om databeskyttelse. Omvendt skal overholdelse af en forpligtelse i henhold til lovgivningen i bestemmelsestredjelandet, som går videre end nødvendigt i forhold til disse formål, således som generaladvokaten har fremhævet i punkt 131 i forslaget til afgørelse, anses for en tilsidesættelse af disse bestemmelser. Ved disse erhvervsdrivendes vurdering af, om en sådan forpligtelse går videre end nødvendigt, skal der, såfremt det er relevant, tages hensyn til den konstatering af, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, som er foretaget i en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 3.

142

Det følger heraf, at den dataansvarlige, som er etableret i unionen, og modtageren af overførslen af personoplysninger, har pligt til forudgående at undersøge, om det i EU-retten krævede beskyttelsesniveau er overholdt i det pågældende tredjeland. Modtageren af denne overførsel har, såfremt det er relevant, i henhold til standardbestemmelse 5, litra b), pligt til at underrette den dataansvarlige, såfremt den pågældende ikke er i stand til at overholde disse bestemmelser, hvorefter det påhviler den dataansvarlige at suspendere dataoverførslen og/eller ophæve kontrakten.

143

Hvis modtageren af overførslen af personoplysninger til et tredjeland i henhold til standardbestemmelse 5, litra b), i bilaget til afgørelsen om standardkontraktbestemmelser har underrettet den dataansvarlige om, at lovgivningen i det pågældende tredjeland ikke gør det muligt for denne modtager at overholde standardbestemmelserne om databeskyttelse i dette bilag, følger det af standardbestemmelse 12 i dette bilag, at alle oplysninger, som allerede er videregivet til dette tredjeland, og kopier heraf skal returneres eller destrueres. Under alle omstændigheder sanktionerer standardbestemmelse 6 i samme bilag en tilsidesættelse af disse standardbestemmelser ved at give den registrerede ret til erstatning for den lidte skade.

144

Det skal tilføjes, at ifølge standardbestemmelse 4, litra f), i bilaget til afgørelsen om standardkontraktbestemmelser forpligter den dataansvarlige, som er etableret i Unionen, når særlige kategorier af oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, sig til at informere den registrerede herom inden eller snarest muligt efter videregivelsen. Denne information kan sætte den registrerede i stand til at udnytte det retsmiddel over for den dataansvarlige, som standardbestemmelse 3, stk. 1, i dette bilag tildeler den registrerede, med henblik på at den dataansvarlige suspenderer den påtænkte videregivelse, ophæver den kontrakt, som er indgået med modtageren af overførslen af personoplysninger, eller, hvor det er relevant, anmoder sidstnævnte om at returnere eller destruere de videregivne oplysninger.

145

Endelig har den dataansvarlige, som er etableret i Unionen, i henhold til standardbestemmelse 4, litra b), i det nævnte bilag, når modtageren af overførslen af personoplysninger i overensstemmelse med standardbestemmelse 5, litra b), giver den dataansvarlige meddelelse om, at den lovgivning, som denne modtager er underlagt, ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier, der opnås, og de forpligtelser, der pålægges ved standardbestemmelserne om databeskyttelse, pligt til at sende denne meddelelse videre til den kompetente tilsynsmyndighed, hvis den dataansvarlige på trods af denne meddelelse beslutter at fortsætte videregivelsen eller at ophæve suspensionen. Videresendelsen af en sådan meddelelse til denne tilsynsmyndighed og dennes ret til at foretage inspektioner hos modtageren af overførslen af personoplysninger i henhold til standardbestemmelse 8, stk. 2, i samme bilag gør det muligt for tilsynsmyndigheden at undersøge, om den påtænkte videregivelse skal suspenderes eller forbydes med henblik på at sikre et tilstrækkeligt beskyttelsesniveau.

146

I denne forbindelse bekræfter artikel 4 i afgørelsen om standardkontraktbestemmelser, sammenholdt med femte betragtning til gennemførelsesafgørelse 2016/2297, at afgørelsen om standardkontraktbestemmelser ikke forhindrer den kompetente tilsynsmyndighed i at suspendere eller, hvor det er relevant, forbyde en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelserne om databeskyttelse i bilaget til denne afgørelse. I denne henseende har den kompetente tilsynsmyndighed, således som det fremgår af besvarelsen af det ottende spørgsmål, medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Kommissionen, i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), pligt til at suspendere eller forbyde en sådan overførsel, når den i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

147

Med hensyn til den af Commissioner anførte omstændighed, at tilsynsmyndighederne i forskellige medlemsstater eventuelt ville kunne træffe forskellige afgørelser vedrørende overførsler af personoplysninger til et tredjeland, skal det tilføjes, at som det fremgår af databeskyttelsesforordningens artikel 55, stk. 1, og artikel 57, stk. 1, litra a), er den opgave, der består i at håndhæve anvendelsen af denne forordning, principielt tildelt hver tilsynsmyndighed på dens egen medlemsstats område. Med henblik på at undgå forskellige afgørelser giver denne forordnings artikel 64, stk. 2, desuden en tilsynsmyndighed, som finder, at dataoverførsler til et tredjeland generelt skal forbydes, mulighed for at anmode Det Europæiske Databeskyttelsesråd (EDPB) om en udtalelse, idet dette i henhold til forordningens artikel 65, stk. 1, litra c), kan vedtage en bindende afgørelse, bl.a. når en tilsynsmyndighed ikke følger den afgivne udtalelse.

148

Det følger heraf, at afgørelsen om standardkontraktbestemmelser fastsætter effektive mekanismer, der i praksis gør det muligt at sikre, at overførsel til et tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til denne afgørelse suspenderes eller forbydes, når modtageren af overførslen ikke overholder eller ikke er i stand til at overholde disse bestemmelser.

149

Henset til samtlige ovenstående betragtninger skal det syvende og det ellevte spørgsmål besvares med, at undersøgelsen af afgørelsen om standardkontraktbestemmelser i lyset af chartrets artikel 7, 8 og 47 intet har frembragt, der kan påvirke gyldigheden af denne afgørelse.

Det fjerde, det femte, det niende og det tiende spørgsmål

150

Med det niende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om og i hvilket omfang en medlemsstats tilsynsmyndighed er bundet af konstateringerne i afgørelsen om værnet om privatlivets fred om, at USA sikrer et tilstrækkeligt beskyttelsesniveau. Med det fjerde, det femte og det tiende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om overførsel til dette tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser under hensyntagen til dens egne konstateringer vedrørende amerikansk ret udgør en tilsidesættelse af de rettigheder, som er sikret ved chartrets artikel 7, 8 og 47, idet den særligt anmoder Domstolen om at oplyse, om oprettelsen af den ombudsmand, der er nævnt i bilag III til afgørelsen om værnet om privatlivets fred, er forenelig med chartrets artikel 47.

151

Det skal indledningsvis bemærkes, at selv om Commissioners søgsmål i hovedsagen alene rejser tvivl om gyldigheden af afgørelsen om standardkontraktbestemmelser, er søgsmålet anlagt ved den forelæggende ret før vedtagelsen af afgørelsen om værnet om privatlivets fred. For så vidt som den forelæggende ret ved det fjerde og det femte spørgsmål anmoder Domstolen om generelt at tage stilling til, hvilken beskyttelse der i henhold til chartrets artikel 7, 8 og 47 skal sikres i forbindelse med en sådan overførsel, skal Domstolens undersøgelse inddrage konsekvenserne af den i mellemtiden vedtagne afgørelse om værnet om privatlivets fred. Dette gælder så meget desto mere, som den forelæggende ret med det tiende spørgsmål udtrykkeligt ønsker oplyst, om den ved chartrets artikel 47 krævede beskyttelse sikres ved hjælp af den ombudsmand, der er nævnt i sidstnævnte afgørelse.

152

Det fremgår desuden af oplysningerne i anmodningen om præjudiciel afgørelse, at Facebook Ireland i forbindelse med hovedsagen har gjort gældende, at afgørelsen om værnet om privatlivets fred havde bindende virkninger for Commissioner hvad angår konstateringen af tilstrækkeligheden af det beskyttelsesniveau, som er sikret i USA, og følgelig vedrørende lovligheden af en overførsel til dette tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser.

153

Som det fremgår af nærværende doms præmis 59, har den forelæggende ret i sin dom af 3. oktober 2017, som er vedlagt anmodningen om præjudiciel afgørelse, imidlertid fremhævet, at den havde pligt til at tage hensyn til ændringer af lovgivningen i perioden mellem sagens anlæggelse og afholdelsen af retsmødet for den. Den forelæggende ret synes således at være forpligtet til ved afgørelsen af tvisten i hovedsagen at tage hensyn til de ændrede omstændigheder som følge af vedtagelsen af afgørelsen om værnet om privatlivets fred og de eventuelle bindende virkninger af denne.

154

Spørgsmålet om, hvorvidt der er bindende virkninger knyttet til konstateringen i afgørelsen om værnet om privatlivets fred af, at USA har et tilstrækkeligt beskyttelsesniveau, er navnlig relevant med henblik på vurderingen af både de i nærværende doms præmis 141 og 142 nævnte forpligtelser, som påhviler den dataansvarlige og modtageren af en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, og de forpligtelser, som tilsynsmyndigheden i påkommende tilfælde har til at suspendere eller forbyde en sådan overførsel.

155

Hvad angår de bindende virkninger af afgørelsen om værnet om privatlivets fred bestemmer denne afgørelses artikel 1, stk. 1, at med henblik på databeskyttelsesforordningens artikel 45, stk. 1, »sikrer USA et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred«. I henhold til denne afgørelses artikel 1, stk. 3, anses personoplysninger for at være overført under dette værn, hvis de overføres fra Unionen til foretagender i USA, der er opført på listen over deltagere i dette værn, som føres og offentliggøres af det amerikanske handelsministerium i overensstemmelse med afsnit I og III i principperne i bilag II til samme afgørelse.

156

Som det fremgår af den i nærværende doms præmis 117 og 118 anførte retspraksis, har afgørelsen om værnet om privatlivets fred bindende virkning for tilsynsmyndighederne, for så vidt som det heri fastslås, at USA sikrer et tilstrækkeligt beskyttelsesniveau, og den bevirker derfor, at der gives tilladelse til overførsel af personoplysninger inden for rammerne af Den Europæiske Unions og USA’s værn om privatlivets fred. Så længe Domstolen ikke har fastslået, at denne afgørelse er ugyldig, kan den kompetente tilsynsmyndighed derfor ikke suspendere eller forbyde en overførsel af personoplysninger til et foretagende, som deltager i dette værn, med den begrundelse, at den – i strid med Kommissionens vurdering i den nævnte afgørelse – er af den opfattelse, at USA’s lovgivning om adgang til personoplysninger, der er overført under dette værn, og dette tredjelands offentlige myndigheders brug af disse oplysninger med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser ikke sikrer et tilstrækkeligt beskyttelsesniveau.

157

Ikke desto mindre forholder det sig således, at når den kompetente tilsynsmyndighed modtager en klage fra en person, skal den i overensstemmelse med den retspraksis, der er henvist til i nærværende doms præmis 119 og 120, i fuld uafhængighed undersøge, om den pågældende overførsel af personoplysninger opfylder de ved databeskyttelsesforordningen fastsatte krav, og – hvis den finder, at de klagepunkter, som denne person har fremsat med henblik på at anfægte gyldigheden af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, er begrundede – anlægge sag ved de nationale domstole, med henblik på at disse anmoder Domstolen om at træffe præjudiciel afgørelse vedrørende denne afgørelses gyldighed.

158

En klage indgivet i henhold til databeskyttelsesforordningens artikel 77, stk. 1, hvorved en person, hvis personoplysninger er blevet eller kan blive overført til et tredjeland, gør gældende, at dette lands lovgivning og praksis – uanset det af Kommissionen fastslåede i en afgørelse vedtaget i henhold til denne forordnings artikel 45, stk. 3 – ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal nemlig forstås således, at den i det væsentlige vedrører denne afgørelses forenelighed med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28, stk. 4, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 59).

159

I den foreliggende sag har Maximillian Schrems i det væsentlige anmodet Commissioner om at forbyde eller suspendere Facebook Irelands overførsel af hans personoplysninger til Facebook Inc., der er etableret i USA, med den begrundelse, at dette tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Commissioner har i forbindelse med en undersøgelse af Maximillian Schrems’ påstande anlagt sag ved den forelæggende ret, som i lyset af de fremlagte beviser og den kontradiktoriske forhandling for denne synes at sætte spørgsmålstegn ved grundlaget for Maximillian Schrems’ tvivl vedrørende tilstrækkeligheden af beskyttelsesniveauet i det nævnte tredjeland, uanset hvad Kommissionen i mellemtiden har fastslået i afgørelsen om værnet om privatlivets fred, hvilket har fået denne ret til at forelægge Domstolen det fjerde, det femte og det tiende præjudicielle spørgsmål.

160

Som generaladvokaten har anført i punkt 175 i forslaget til afgørelse, skal disse præjudicielle spørgsmål derfor forstås således, at de nærmere bestemt rejser tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til dette tredjeland, og dermed om gyldigheden af denne afgørelse.

161

Henset til de betragtninger, der er anført i nærværende doms præmis 121 og 157-160, og med henblik på at give den forelæggende ret en fyldestgørende besvarelse, skal det derfor undersøges, om afgørelsen om værnet om privatlivets fred er i overensstemmelse med de krav, der følger af databeskyttelsesforordningen, sammenholdt med chartret (jf. analogt dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 67).

162

Kommissionens vedtagelse af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 3, kræver, at Kommissionen behørigt konstaterer, at det pågældende tredjeland på grundlag af sin nationale lovgivning eller sine internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i Unionens retsorden (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 96).

Indholdet af afgørelsen om værnet om privatlivets fred

163

Kommissionen konstaterede i artikel 1, stk. 1, i afgørelsen om værnet om privatlivets fred, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til foretagender i USA under Den Europæiske Unions og USA’s værn om privatlivets fred, som i henhold til denne afgørelses artikel 1, stk. 2, navnlig består af de principper, som er opstillet af det amerikanske handelsministerium den 7. juli 2016 som fastsat i bilag II til afgørelsen og de officielle udredninger og tilsagn indeholdt i de dokumenter, der er opført i bilag I, III og VII til samme afgørelse.

164

Det er imidlertid ligeledes præciseret i afgørelsen om værnet om privatlivets fred – i punkt I.5 i bilag II hertil, der har overskriften »Principperne i ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred« – at tilslutningen til disse principper navnlig kan være begrænset »til et niveau, der er tilstrækkeligt til at opfylde kravene med hensyn til den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen«. Denne afgørelse fastsætter således, ligesom beslutning 2000/520, at disse krav har forrang for de nævnte principper, og i medfør af denne forrang er de selvcertificerede amerikanske foretagender, der modtager personoplysninger fra Unionen, forpligtet til uden begrænsning at se bort fra de samme principper, når disse er i modstrid med de nævnte krav og derfor viser sig uforenelige med disse (jf. analogt for så vidt angår beslutning 2000/520 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 86).

165

Henset til den generelle karakter af undtagelsen i punkt I.5 i bilag II til afgørelsen om værnet om privatlivets fred åbner denne undtagelse således op for, at der på grundlag af kravene vedrørende statens sikkerhed og almenvellet eller på grundlag af den nationale amerikanske lovgivning foretages indgreb i de grundlæggende rettigheder hos de personer, hvis personoplysninger bliver eller kan blive overført fra Unionen til USA (jf. analogt for så vidt angår beslutning 2000/520 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 87). Som det er fastslået i afgørelsen om værnet om privatlivets fred, kan sådanne indgreb nærmere bestemt følge af de amerikanske offentlige myndigheders adgang til personoplysninger, der er overført fra Unionen til USA, og deres brug af disse oplysninger inden for rammerne af overvågningsprogrammerne Prism og Upstream baseret på FISA’s section 702 og på grundlag af E.O. 12333.

166

I denne sammenhæng har Kommissionen i 67.-135. betragtning til afgørelsen om værnet om privatlivets fred vurderet begrænsningerne og garantierne i amerikansk ret, herunder navnlig i FISA’s section 702, i E.O. 12333 og i PPD-28, med hensyn til de amerikanske myndigheders adgang til og brug af personoplysninger overført under Den Europæiske Unions og USA’s værn om privatlivets fred med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser.

167

Efter denne vurdering fastslog Kommissionen i 136. betragtning til denne afgørelse, at »USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til [selvcertificerede] foretagender i USA«, og i 140. betragtning til denne afgørelse fandt den »[p]å baggrund af de tilgængelige oplysninger om den amerikanske retsorden […], at eventuelle indgreb fra de amerikanske offentlige myndigheders side i de grundlæggende rettigheder for de personer, hvis oplysninger overføres fra EU til USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred med henblik på beskyttelse af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser, vil blive begrænset til det strengt nødvendige med henblik på at nå det tilsigtede legitime mål, og at der er en effektiv retsbeskyttelse mod sådanne indgreb«.

Konstateringen vedrørende tilstrækkeligheden af beskyttelsesniveauet

168

Henset til de forhold, som Kommissionen nævner i afgørelsen om værnet om privatlivets fred, og de forhold, som den forelæggende ret har lagt til grund i hovedsagen, er denne ret i tvivl om, hvorvidt amerikansk ret faktisk sikrer det tilstrækkelige beskyttelsesniveau, som kræves i henhold til databeskyttelsesforordningens artikel 45, sammenholdt med de grundlæggende rettigheder, som er sikret ved chartrets artikel 7, 8 og 47. Den forelæggende ret er navnlig af den opfattelse, at dette tredjelands lovgivning ikke fastsætter de nødvendige begrænsninger og garantier i forhold til indgreb, som dets nationale bestemmelser tillader, og heller ikke sikrer en effektiv domstolsbeskyttelse mod sådanne indgreb. I sidstnævnte henseende har den forelæggende ret tilføjet, at oprettelsen af ombudsmanden i værnet om privatlivets fred efter dens opfattelse ikke kan afhjælpe disse mangler, eftersom denne ombudsmand ikke kan sidestilles med en domstol som omhandlet i chartrets artikel 47.

169

Hvad for det første angår chartrets artikel 7 og 8, der indgår i det i Unionen krævede beskyttelsesniveau, som Kommissionen skal fastslå er overholdt, før den vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 1, bemærkes, at chartrets artikel 7 fastsætter, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation. Med hensyn til chartrets artikel 8, stk. 1, tillægger denne bestemmelse udtrykkeligt enhver person ret til beskyttelse af personoplysninger, der vedrører den pågældende.

170

Adgang til personoplysninger vedrørende en fysisk person med henblik på opbevaring eller brug griber således ind i denne persons grundlæggende ret til respekt for privatlivet, som er sikret ved chartrets artikel 7, idet denne ret vedrører enhver form for information om en identificeret eller identificerbar fysisk person. De nævnte behandlinger af oplysninger er tillige omfattet af chartrets artikel 8, idet de udgør behandlinger af personoplysninger i denne artikels forstand og derfor nødvendigvis skal opfylde de krav vedrørende beskyttelse af sådanne oplysninger, der er fastsat i denne artikel (jf. denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 49 og 52, og af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 29, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 122 og 123).

171

Domstolen har allerede fastslået, at videregivelse af personoplysninger til en tredjemand såsom en offentlig myndighed udgør et indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, uanset hvad de videregivne oplysninger efterfølgende bruges til. Det samme gælder opbevaring af personoplysninger og de offentlige myndigheders adgang hertil med henblik på brug heraf, uanset om de pågældende oplysninger vedrørende privatlivet er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (jf. denne retning dom af 20.5.2003, Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 74 og 75, og af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 33-36, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 124 og 126).

172

De rettigheder, der er sikret ved chartrets artikel 7 og 8, er imidlertid ikke absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet (jf. i denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 48 og den deri nævnte retspraksis, og af 17.10.2013, Schwarz, C-291/12, EU:C:2013:670, præmis 33 og den deri nævnte retspraksis, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 136).

173

I denne henseende bemærkes ligeledes, at det fremgår af chartrets artikel 8, stk. 2, at personoplysninger bl.a. skal behandles »til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«.

174

I henhold til chartrets artikel 52, stk. 1, første punktum, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, desuden være fastlagt i lovgivningen og respektere disse rettigheders og friheders væsentligste indhold. Ifølge chartrets artikel 52, stk. 1, andet punktum, kan der under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger til disse rettigheder og friheder, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

175

Det skal i sidstnævnte henseende tilføjes, at kravet om, at enhver begrænsning af udøvelsen af de grundlæggende rettigheder skal være fastlagt i lovgivningen, indebærer, at det retsgrundlag, som tillader et indgreb i disse rettigheder, selv skal definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 139 og den deri nævnte retspraksis).

176

For at opfylde kravet om proportionalitet, ifølge hvilket undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige, skal den pågældende lovgivning, som indebærer indgrebet, endelig fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis data er blevet overført, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige. Nødvendigheden af at råde over sådanne garantier er så meget desto større, når personoplysningerne er undergivet en automatiseret behandling (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 140 og 141 og den deri nævnte retspraksis).

177

Med henblik herpå præciseres det i databeskyttelsesforordningens artikel 45, stk. 2, litra a), at Kommissionen ved sin vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland bl.a. skal tage hensyn til »effektive rettigheder […], som kan håndhæves [for registrerede]«, hvis personoplysninger overføres.

178

I den foreliggende sag er der rejst tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret inden for Unionen i medfør af databeskyttelsesforordningen, sammenholdt med chartrets artikel 7 og 8, navnlig med den begrundelse, at de indgreb, der følger af de overvågningsprogrammer, der er vedtaget på grundlag af FISA’s section 702 og E.O. 12333, ikke er undergivet krav, som under overholdelse af proportionalitetsprincippet sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret ved chartrets artikel 52, stk. 1, andet punktum. Det skal derfor undersøges, om disse overvågningsprogrammer gennemføres under overholdelse af sådanne krav, uden at det er nødvendigt først at undersøge, om dette tredjeland overholder betingelser, som i det væsentlige svarer til dem, der er fastsat i chartrets artikel 52, stk. 1, første punktum.

179

Med hensyn til de overvågningsprogrammer, der er vedtaget på grundlag af FISA’s section 702, konstaterede Kommissionen i denne henseende i 109. betragtning til afgørelsen om værnet om privatlivets fred, at i henhold til denne bestemmelse »tillader FISC […] ikke individuelle overvågningsforanstaltninger, men overvågningsprogrammer (f.eks. Prism, Upstream) på grundlag af årlige certificeringer udformet af den amerikanske justitsminister og direktøren for National Intelligence«. Som det fremgår af samme betragtning, tager FISC’s kontrol således sigte på at efterprøve, om disse overvågningsprogrammer er i overensstemmelse med formålet om at indhente udenlandske efterretningsoplysninger, men vedrører ikke spørgsmålet, »[om] fysiske personer […] er velegnede mål for indsamling af udenlandske efterretningsoplysninger«.

180

Det ses således, at FISA’s artikel 702 på ingen måde lader fremgå, at der er begrænsninger af beføjelsen i medfør af denne bestemmelse til at gennemføre overvågningsprogrammer med henblik på at indhente udenlandske efterretningsoplysninger, og heller ikke, at der er garantier for ikke-amerikanske personer, som potentielt kan være omfattet af disse programmer. Under disse omstændigheder kan denne bestemmelse, således som generaladvokaten i det væsentlige har anført i punkt 291, 292 og 297 i forslaget til afgørelse, ikke sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret ved chartret, således som det er fortolket i den retspraksis, der er nævnt i nærværende doms præmis 175 og 176, og hvorefter et retsgrundlag, som tillader indgreb i de grundlæggende rettigheder, for at være i overensstemmelse med proportionalitetsprincippet selv skal definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed og fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav.

181

Ifølge konstateringerne i afgørelsen om værnet om privatlivets fred skal overvågningsprogrammer vedtaget i henhold til FISA’s artikel 702 ganske vist gennemføres under overholdelse af de krav, der følger af PPD-28. Selv om Kommissionen i 69. og 77. betragtning til afgørelsen om værnet om privatlivets fred har fremhævet, at disse krav er bindende for de amerikanske efterretningstjenester, har den amerikanske regering imidlertid som svar på et spørgsmål fra Domstolen medgivet, at PPD-28 ikke giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene. PPD-28 kan derfor ikke sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der følger af chartret, hvilket er i strid med kravene i databeskyttelsesforordningens artikel 45, stk. 2, litra a), hvorefter en konstatering af, at dette niveau foreligger, navnlig afhænger af, at der findes effektive rettigheder, som kan håndhæves, for de registrerede, hvis personoplysninger er blevet overført til det pågældende tredjeland.

182

Med hensyn til overvågningsprogrammer baseret på E.O. 12333 fremgår det af sagsakterne for Domstolen, at dette dekret heller ikke giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene.

183

Det skal tilføjes, at PPD-28, som skal være overholdt i forbindelse med de overvågningsprogrammer, der er omhandlet i de to foregående præmisser, tillader, at der foretages »»masseindsamling« af et forholdsvist højt antal signalefterretningsoplysninger eller ‑data under omstændigheder, hvor efterretningstjenesterne ikke kan anvende en identifikator knyttet til et specifikt mål […] for at målrette indsamlingen«, således som det er præciseret i en skrivelse af 21. juni 2016 fra Office of the Director of National Intelligence (kontoret for direktøren for den nationale efterretningstjeneste) til den amerikanske handelsminister og til International Trade Administration, der er indeholdt i bilag VI til afgørelsen om værnet om privatlivets fred. Denne mulighed, som inden for rammerne af overvågningsprogrammer baseret på E.O. 12333 tillader adgang til oplysninger i transit til USA, uden at denne adgang er underlagt noget retsligt tilsyn, afgrænser dog under alle omstændigheder ikke tilstrækkeligt klart og præcist omfanget af en sådan masseindsamling af personoplysninger.

184

Det fremgår derfor, at hverken FISA’s section 702 eller E.O. 12333, sammenholdt med PPD-28, opfylder de mindstekrav, som i henhold til EU-retten er knyttet til proportionalitetsprincippet, således at det ikke kan fastslås, at de overvågningsprogrammer, som er baseret på disse bestemmelser, er begrænset til det strengt nødvendige.

185

Under disse omstændigheder er de begrænsninger af beskyttelsen af personoplysninger, som følger af USA’s nationale lovgivning om de amerikanske offentlige myndigheders adgang til og brug af sådanne oplysninger, der overføres fra Unionen til USA, og som Kommissionen har vurderet i afgørelsen om værnet om privatlivets fred, ikke afgrænset på en sådan måde, at de lever op til krav, som i det væsentlige svarer til dem, der er foreskrevet i EU-retten ved chartrets artikel 52, stk. 1, andet punktum.

186

Hvad for det andet angår chartrets artikel 47, der ligeledes indgår i det i Unionen krævede beskyttelsesniveau, som Kommissionen skal fastslå er overholdt, før den vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 1, bemærkes, at chartrets artikel 47, stk. 1, kræver, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I henhold til den nævnte artikels stk. 2 har enhver ret til en rettergang for en uafhængig og upartisk domstol.

187

Ifølge fast retspraksis er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat. En lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, opfylder således ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47 (dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 95 og den deri nævnte retspraksis).

188

Med henblik herpå kræver databeskyttelsesforordningens artikel 45, stk. 2, litra a), at Kommissionen ved sin vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland bl.a. tager hensyn til »effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres«. I denne henseende er det i 104. betragtning til databeskyttelsesforordningen fremhævet, at tredjelandet »bør […] sikre et effektivt uafhængigt databeskyttelsestilsyn og […] fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder«, og præciseret, at »de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse«.

189

En sådan adgang til effektiv prøvelse i det pågældende tredjeland er særligt vigtig i forbindelse med en overførsel af personoplysninger til dette tredjeland, for så vidt som de registrerede, således som det fremgår af 116. betragtning til databeskyttelsesforordningen, i nogle tilfælde må konstatere, at medlemsstaternes administrative og retslige myndigheder ikke har tilstrækkelige beføjelser og midler til på behørig vis at behandle deres klager over en angiveligt ulovlig behandling i dette tredjeland af deres således overførte oplysninger, hvilket kan gøre det nødvendigt for dem at henvende sig til de nationale myndigheder og domstole i samme tredjeland.

190

I den foreliggende sag er der rejst tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47, navnlig med den begrundelse, at oprettelsen af ombudsmanden i værnet om privatlivets fred ikke kan afhjælpe de mangler, som Kommissionen selv har konstateret vedrørende domstolsbeskyttelsen for personer, hvis personoplysninger overføres til dette tredjeland.

191

I denne forbindelse anførte Kommissionen i 115. betragtning til afgørelsen om værnet om privatlivets fred, at selv om »personer, herunder registrerede i EU, […] har en række klagemuligheder, når de har været genstand for ulovlig (elektronisk) overvågning af hensyn til den nationale sikkerhed, står det ligeledes klart, at i hvert fald nogle af de retsgrundlag, som de amerikanske efterretningsmyndigheder kan anvende (f.eks. E.O. 12333), ikke er omfattet«. Med hensyn til E.O. 12333 lagde Kommissionen således i 115. betragtning vægt på, at der helt savnes retsmidler. Ifølge den retspraksis, som er nævnt i nærværende doms præmis 187, er en sådan mangel i domstolsbeskyttelsen mod indgreb i forbindelse med efterretningsprogrammer baseret på dette præsidentielle dekret imidlertid til hinder for, at det konkluderes – således som Kommissionen gjorde det i afgørelsen om værnet om privatlivets fred – at amerikansk ret sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47.

192

Med hensyn til både de overvågningsprogrammer, som er baseret på FISA’s section 702, og dem, der er baseret på E.O. 12333, er det desuden blevet fremhævet i nærværende doms præmis 181 og 182, at hverken PPD-28 eller E.O. 12333 giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene, og de registrerede har derfor ikke adgang til effektive retsmidler.

193

Kommissionen konstaterede imidlertid i 115. og 116. betragtning til afgørelsen om værnet om privatlivets fred, at som følge af den af de amerikanske myndigheder oprettede ombudsmandsmekanisme, således som denne er beskrevet i den skrivelse, som den amerikanske udenrigsminister sendte til EU-kommissæren med ansvar for retlige anliggender, forbrugere og ligestilling mellem mænd og kvinder den 7. juli 2016, og som er indeholdt i bilag III til denne afgørelse, og karakteren af de opgaver, som er betroet ombudsmanden – i det foreliggende tilfælde en »Senior Coordinator for International Information Technology Diplomacy« – kunne USA anses for at sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47.

194

Undersøgelsen af spørgsmålet, om den ombudsmandsmekanisme, som er omhandlet i afgørelsen om værnet om privatlivets fred, faktisk kan have en afbødende virkning på de af Kommissionen konstaterede begrænsninger af retten til domstolsbeskyttelse, skal i overensstemmelse med de krav, der følger af chartrets artikel 47 og den retspraksis, der er nævnt i nærværende doms præmis 187, tage udgangspunkt i princippet om, at retssubjekterne skal have mulighed for at gøre brug af retsmidler ved en uafhængig og upartisk domstol med henblik på at få adgang til personoplysninger, som vedrører de pågældende, eller til at få sådanne oplysninger berigtiget eller slettet.

195

I den skrivelse, som er nævnt i nærværende doms præmis 193, hedder det om ombudsmanden i værnet om privatlivets fred – selv om denne beskrives som værende »uafhængig af efterretningstjenesterne« – at ombudsmanden »indberetter direkte til den amerikanske udenrigsminister, der sørger for, at ombudsmanden udøver sin funktion på objektiv vis og fri for indflydelse, som kan påvirke de svar, der skal gives«. Ud over at ombudsmanden, således som Kommissionen konstaterede i 116. betragtning til denne afgørelse, udpeges af udenrigsministeren og udgør en del af det amerikanske udenrigsministerium, indeholder denne afgørelse, således som generaladvokaten har anført i punkt 337 i forslaget til afgørelse, i øvrigt ingen oplysninger om, at en nedlæggelse af ombudsmandsfunktionen eller en tilbagekaldelse af udpegningen er omfattet af særlige garantier, hvilket rejser tvivl om ombudsmandens uafhængighed af den udøvende magt (jf. i denne retning dom af 21.1.2020, Banco de Santander, C-274/14, EU:C:2020:17, præmis 60 og 63 og den deri nævnte retspraksis).

196

Selv om der i 120. betragtning til afgørelsen om værnet om privatlivets fred, således som generaladvokaten har fremhævet i punkt 338 i forslaget til afgørelse, henvises til en forpligtelse for USA’s regering til at sikre, at den relevante enhed inden for efterretningstjenesterne pålægges at bringe enhver tilsidesættelse af de gældende regler, som ombudsmanden i værnet om privatlivets fred måtte konstatere, til ophør, indeholder denne afgørelse på samme måde ingen oplysninger om, at ombudsmanden har beføjelse til at træffe bindende afgørelser i forhold til disse tjenester, og den henviser heller ikke til lovbestemte garantier knyttet til denne forpligtelse, som de registrerede ville kunne påberåbe sig.

197

Den ombudsmandsmekanisme, som er omhandlet i afgørelsen om værnet om privatlivets fred, tilvejebringer derfor ikke et retsmiddel for et organ, som giver personer, hvis oplysninger overføres til USA, garantier, der i det væsentlige svarer til dem, der kræves i henhold til chartrets artikel 47.

198

Kommissionen har derfor ved i artikel 1, stk. 1, i afgørelsen om værnet om privatlivets fred at fastslå, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til foretagender i dette tredjeland under Den Europæiske Unions og USA’s værn om privatlivets fred, tilsidesat de krav, der følger af databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7, 8 og 47.

199

Det følger heraf, at artikel 1 i afgørelsen om værnet om privatlivets fred er uforenelig med databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7, 8 og 47, og at den derfor er ugyldig.

200

Da artikel 1 i afgørelsen om værnet om privatlivets fred ikke kan adskilles fra denne afgørelses artikel 2-6 og fra bilagene til afgørelsen, indebærer dens ugyldighed, at gyldigheden af afgørelsen i sin helhed berøres.

201

Henset til samtlige ovenstående betragtninger må det fastslås, at afgørelsen om værnet om privatlivets fred er ugyldig.

202

Hvad angår spørgsmålet om, hvorvidt virkningerne af denne afgørelse bør opretholdes med henblik på at undgå, at der opstår et retligt tomrum (jf. i denne retning dom af 28.4.2016, Borealis Polyolefine m.fl., C-191/14, C-192/14, C-295/14, C-389/14 og C-391/14 – C-393/14, EU:C:2016:311, præmis 106), bemærkes, at annullation af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet såsom afgørelsen om værnet om privatlivets fred, henset til databeskyttelsesforordningens artikel 49, under alle omstændigheder ikke kan skabe et sådant retligt tomrum. Denne artikel fastsætter nemlig præcist, på hvilke betingelser overførsler af personoplysninger til tredjelande må finde sted i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til denne forordnings artikel 45, stk. 3, eller fornødne garantier i henhold til dens artikel 46.

Sagsomkostninger

203

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

 

1)

Artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

 

2)

Artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning 2016/679 skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union ved denne forordning, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Den Europæiske Union, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

 

3)

Artikel 58, stk. 2, litra f) og j), i forordning 2016/679 skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Europa-Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig denne forordnings artikel 45 og 46 og chartret om grundlæggende rettigheder, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

 

4)

Undersøgelsen af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016, i lyset af artikel 7, 8 og 47 i chartret om grundlæggende rettigheder har intet frembragt, der kan påvirke gyldigheden af denne afgørelse.

 

5)

Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig.

 

Underskrifter


( *1 ) – Processprog: engelsk.

Top