Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62004CC0317

Conclusie van advocaat-generaal Léger van 22 november 2005.
Europees Parlement tegen Raad van de Europese Unie (C-317/04) en Commissie van de Europese Gemeenschappen (C-318/04).
Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Luchtvervoer - Besluit 2004/496/EG - Overeenkomst tussen Europese Gemeenschap en Verenigde Staten van Amerika - Passenger Name Record van vliegtuigpassagiers dat aan het Bureau of Customs and Border Protection van de Verenigde Staten wordt doorgegeven -Richtlijn 95/46/EG- Artikel 25 - Derde landen - Beschikking 2004/535/EG- Passend beschermingsniveau.
Gevoegde zaken C-317/04 en C-318/04.

European Court Reports 2006 I-04721

ECLI identifier: ECLI:EU:C:2005:710

Conclusie van de advocaat generaal

Conclusie van de advocaat generaal

1. Het Europees Parlement heeft bij het Hof op grond van artikel 230 EG twee beroepen tot nietigverklaring aanhangig gemaakt. In de zaak Parlement/Raad (C‑317/04) strekt het beroep tot nietigverklaring van het besluit van de Raad van 17 mei 2004 betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika.(2) In de zaak Parlement/Commissie (C‑318/04) vordert het Parlement nietigverklaring van de beschikking van de Commissie van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven.(3)

2. In deze twee zaken wordt het Hof verzocht zich uit te spreken over de problematiek betreffende de bescherming van persoonsgegevens van vliegtuigpassagiers, wanneer de doorgifte en verwerking van deze gegevens in een derde land, in casu de Verenigde Staten(4), wordt gerechtvaardigd met een beroep op de vereisten van openbare veiligheid en strafvervolging, zoals het voorkomen en de bestrijding van terrorisme en andere zware misdrijven.

3. Aan deze twee zaken ligt een reeks gebeurtenissen ten grondslag die eerst dienen te worden uiteengezet. Vervolgens zal ik nader ingaan op het rechtskader waarvan zij deel uitmaken.

I – De achtergrond van het geschil

4. Al spoedig na de terroristische aanslagen van 11 september 2001 hebben de Verenigde Staten een wettelijke regeling vastgesteld volgens welke luchtvaartmaatschappijen die verbindingen naar of vanuit de Verenigde Staten verzorgen of die over hun grondgebied vliegen, de douane van de Verenigde Staten elektronische toegang moeten verlenen tot de gegevens in hun geautomatiseerde boekings‑ en vertrekcontrolesystemen, genaamd „Passenger Name Records” (hierna: „PNR-gegevens”).(5) Hoewel de Commissie de betrokken veiligheidsbelangen als legitiem erkende, deelde zij de autoriteiten van de Verenigde Staten al in juni 2002 mee, dat die bepalingen wellicht in strijd waren met de wetgeving van de Gemeenschap en de lidstaten inzake gegevensbescherming en met sommige bepalingen van de verordening betreffende gedragsregels voor geautomatiseerde boekingssystemen (CRS).(6) De autoriteiten van de Verenigde Staten stelden daarop de inwerkingtreding van de nieuwe bepalingen uit, maar zij weigerden af te zien van het opleggen van sancties aan luchtvaartmaatschappijen die zich na 5 maart 2003 niet aan de genoemde bepalingen hielden. Sindsdien hebben verschillende grote luchtvaartmaatschappijen uit de Europese Unie die autoriteiten toegang tot hun PNR-gegevens verleend.

5. De Commissie heeft met de autoriteiten van de Verenigde Staten onderhandelingen gevoerd die hebben geleid tot een document met verbintenissen van het CBP, met het oog op de vaststelling door de Commissie van een beschikking waarin het passende karakter van het door de Verenigde Staten geboden beschermingsniveau van de persoonsgegevens wordt geconstateerd, zulks op grond van artikel 25, lid 6, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.(7)

6. Op 13 juni 2003 bracht de zogenoemde „artikel 29-werkgroep” voor de bescherming van persoonsgegevens(8) een advies uit, waarin met betrekking tot de voorgenomen verwerking van persoonsgegevens twijfel werd geuit over het door die verbintenissen gewaarborgde niveau van gegevensbescherming.(9) In een advies van 29 januari 2004 heeft de werkgroep die twijfel nog eens geuit.(10)

7. Op 1 maart 2004 deelde de Commissie het Parlement het ontwerp van gelijkwaardigheidsbeschikking mee, alsmede de ontwerpverbintenissen van het CBP.

8. Op 17 maart 2004 zond de Commissie het Parlement met het oog op diens raadpleging krachtens artikel 300, lid 3, eerste alinea, EG een voorstel voor een besluit van de Raad van de Europese Unie betreffende de sluiting van een overeenkomst tussen de Gemeenschap en de Verenigde Staten. Bij brief van 25 maart 2004 verzocht de Raad het Parlement onder verwijzing naar de spoedprocedure van artikel 112 van het Reglement van het Parlement (thans artikel 134) om uiterlijk op 22 april 2004 advies uit te brengen over dat voorstel. In haar brief beklemtoonde de Raad dat „[d]e strijd tegen het terrorisme, die de voorgestelde maatregelen rechtvaardigt, een wezenlijke prioriteit van de Europese Unie vormt. De luchtvaartmaatschappijen en de passagiers verkeren momenteel in onzekerheid, waaraan spoedig een einde moet worden gemaakt. Bovendien is het noodzakelijk de financiële belangen van de betrokkenen te beschermen.”

9. Op 31 maart 2004 keurde het Parlement overeenkomstig artikel 8 van het besluit van de Raad van 28 juni 1999 tot vaststelling van de voorwaarden voor de uitoefening van de aan de Commissie verleende uitvoeringsbevoegdheden(11) een resolutie goed waarin het met betrekking tot het aan hem voorgelegde voorstel een aantal juridische voorbehouden formuleerde. Het Parlement overwoog met name dat het ontwerp van de gelijkwaardigheidsbeschikking de grenzen van de bij artikel 25 van richtlijn 95/46 aan de Commissie verleende bevoegdheden te buiten ging. Het verzocht om sluiting van een passende internationale overeenkomst die de fundamentele rechten zou eerbiedigen, en verzocht de Commissie om hem een nieuwe ontwerpbeschikking voor te leggen. Verder behield het zich het recht voor om zich tot het Hof te wenden teneinde de wettigheid van de beoogde internationale overeenkomst te toetsen, inzonderheid op haar verenigbaarheid met de bescherming van de persoonlijke levenssfeer.

10. Op 21 april 2004 aanvaardde het Parlement op verzoek van zijn voorzitter een aanbeveling van de commissie Juridische Zaken en Interne Markt om overeenkomstig artikel 300, lid 6, EG het Hof te verzoeken om een advies over de verenigbaarheid van de beoogde overeenkomst met de bepalingen van het Verdrag. Die procedure is dezelfde dag nog ingeleid. Diezelfde dag besloot het Parlement ook om het verslag over het voorstel voor een besluit van de Raad terug te verwijzen naar de bevoegde commissie, waarmee het in dit stadium het verzoek van de Raad van 25 maart 2004 om een spoedbehandeling impliciet afwees.

11. Op 28 april 2004 zond de Raad op grond van artikel 300, lid 3, eerste alinea, EG een brief aan het Parlement waarin hij verzocht om vóór 5 mei 2004 advies uit te brengen over het voorstel voor een besluit betreffende de sluiting van de overeenkomst. Ter rechtvaardiging van de spoedeisendheid van dit verzoek herhaalde de Raad de in zijn brief van 25 maart 2004 genoemde redenen.(12)

12. Op 30 april 2004 verwittigde de griffier van het Hof het Parlement dat het Hof had bepaald dat de opmerkingen van de lidstaten, de Raad en de Commissie in de procedure betreffende het adviesverzoek 1/04 ten laatste op 4 juni 2004 moesten worden ingediend.

13. Op 4 mei 2004 verwierp het Parlement het verzoek van de Raad van 28 april om dit voorstel met spoed te behandelen.(13) Twee dagen later wendde de voorzitter van het Parlement zich tot de Raad en de Commissie met het verzoek geen uitvoering te geven aan hun voornemens zolang het Hof het op 21 april 2004 verzochte advies nog niet had gegeven.

14. Op 14 mei 2004 stelde de Commissie de beschikking vast betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het CBP worden doorgegeven, zulks overeenkomstig artikel 25, lid 6, van richtlijn 95/46.

15. Op 17 mei 2004 stelde de Raad het besluit vast betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten inzake de verwerking en doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan het CBP.

16. Bij brief van 9 juli 2004 deelde het Parlement het Hof mee dat het zijn, onder nummer 1/04 ingeschreven, verzoek om een advies introk.(14) Het heeft vervolgens besloten de Raad en de Commissie ter zake van de met hen bestaande geschillen in rechte te betrekken.

II – De op de twee zaken toepasselijke bepalingen

A – Het Verdrag betreffende de Europese Unie

17. Artikel 6 EU bepaalt:

„1. De Unie is gegrondvest op de beginselen van vrijheid, democratie, eerbiediging van de rechten van de mens en de fundamentele vrijheden, en van de rechtsstaat, welke beginselen de lidstaten gemeen hebben.

2. De Unie eerbiedigt de grondrechten, zoals die worden gewaarborgd door het op 4 november 1950 te Rome ondertekende Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en zoals zij uit de gemeenschappelijke constitutionele tradities van de lidstaten voortvloeien, als algemene beginselen van het gemeenschapsrecht.

[...]”.

B – Het Verdrag tot oprichting van de Europese Gemeenschap

18. Artikel 95, lid 1, EG bepaalt:

„In afwijking van artikel 94 en tenzij in dit Verdrag anders is bepaald, zijn de volgende bepalingen van toepassing voor de verwezenlijking van de doeleinden van artikel 14. De Raad stelt volgens de procedure van artikel 251 en na raadpleging van het Economisch en Sociaal Comité de maatregelen vast inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt betreffen.”

19. Aangaande de procedure voor het sluiten van internationale akkoorden door de Gemeenschap, bepaalt artikel 300, lid 2, eerste alinea, eerste volzin, EG dat „[o]nder voorbehoud van de aan de Commissie te dezer zake toegekende bevoegdheden [...] de Raad met gekwalificeerde meerderheid van stemmen op voorstel van de Commissie een besluit [neemt] over de ondertekening [...] en over de sluiting van de akkoorden”.

20. Artikel 300, lid 3, EG luidt als volgt:

„Behalve in het geval van de in artikel 133, lid 3, bedoelde akkoorden, sluit de Raad de akkoorden na raadpleging van het Europees Parlement, ook wanneer het akkoord betrekking heeft op een gebied waarvoor de procedure van artikel 251 of van artikel 252 vereist is wat de aanneming van interne voorschriften betreft. Het Europees Parlement brengt advies uit binnen de termijn die de Raad naar gelang van de urgentie kan vaststellen. Indien er binnen die termijn geen advies is uitgebracht, kan de Raad een besluit nemen.

In afwijking van het bepaalde in de vorige alinea, worden akkoorden als bedoeld in artikel 310, andere akkoorden die een specifiek institutioneel kader in het leven roepen door het instellen van samenwerkingsprocedures, akkoorden die aanzienlijke gevolgen hebben voor de gemeenschapsbegroting en akkoorden die een wijziging behelzen van een volgens de procedure van artikel 251 aangenomen besluit, gesloten nadat het Europees Parlement zijn instemming heeft gegeven.

In dringende gevallen kunnen de Raad en het Europees Parlement een termijn overeenkomen voor het geven van de instemming.”

C – Het Europese recht inzake de bescherming van persoonsgegevens

21. Artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”) bepaalt:

„1. Een ieder heef recht op respect voor zijn privéleven, zijn familie‑ en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voorzover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

22. Het Europese recht op het gebied van de gegevensbescherming is allereerst ontwikkeld in het kader van de Raad van Europa. Zo werd de overeenkomst tot bescherming van personen betreffende de verwerking van automatische persoonsgegevens op 28 januari 1981 te Straatsburg ter ondertekening aan de lidstaten van de Raad van Europa voorgelegd.(15) Zij beoogt te garanderen dat op het grondgebied van elke verdragsluitende partij aan elke natuurlijke persoon, ongeacht zijn nationaliteit of woonplaats, de eerbiediging van zijn rechten en fundamentele vrijheden, en inzonderheid van zijn privéleven, in het kader van de automatische verwerking van de hem betreffende persoonsgegevens, wordt gewaarborgd.

23. Wat de Europese Unie betreft: naast artikel 7 dat betrekking heeft op het privé‑ en familieleven, bevat artikel 8 van het Handvest van de grondrechten van de Europese Unie(16) specifieke bepalingen voor de bescherming van persoonsgegevens. Het luidt als volgt:

„1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.

2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag, waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.

3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.”

24. Aangaande het primaire gemeenschapsrecht bepaalt artikel 286, lid 1, EG: „Met ingang van 1 januari 1999 zijn de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de verwerking en het vrije verkeer van persoonsgegevens van toepassing op de instellingen en organen die bij of op grond van dit Verdrag zijn opgericht.”(17)

25. In het afgeleide gemeenschapsrecht is richtlijn 95/46(18) de relevante basisnorm. De samenhang daarvan met de door de Raad van Europa vastgestelde normen blijkt met zoveel woorden uit de tiende en de elfde overweging van de considerans van deze richtlijn. De tiende overweging bepaalt namelijk dat „met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 EVRM en in de algemene beginselen van het gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen”. Bovendien vermeldt de elfde overweging van de considerans van richtlijn 95/46 dat „de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van […] Verdrag [nr. 108] van de Raad van Europa [...] verduidelijken en versterken”.

26. Richtlijn 95/46, vastgesteld op grond van artikel 100 A EG-Verdrag (thans, na wijziging, artikel 95 EG), berust op een in de derde overweging van de considerans ervan genoemde gedachte, volgens welke „voor de totstandbrenging en de werking van de interne markt [...] niet alleen verkeer van persoonsgegevens van de ene lidstaat naar de andere mogelijk moet zijn, maar dat ook de fundamentele rechten van personen moeten worden beschermd”. Meer in het bijzonder is de communautaire wetgever ervan uitgegaan dat „verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, het doorzenden van die gegevens van het grondgebied van de ene lidstaat naar dat van een andere kunnen beletten”(19), hetgeen met name tot gevolg kan hebben dat de uitoefening van activiteiten op communautaire schaal wordt belemmerd en de mededinging wordt vervalst. De communautaire wetgever heeft dan ook overwogen dat „teneinde de belemmeringen voor het verkeer van persoonsgegevens op te heffen, het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig moet zijn”.(20) Deze aanpak moet ertoe leiden dat „de lidstaten, wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de lidstaten niet langer mogen belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer”.(21)

27. Artikel 1 van richtlijn 95/46 draagt het opschrift „Onderwerp van de richtlijn” en voert deze aanpak in de volgende bewoordingen uit:

„1. De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

2. De lidstaten mogen het vrije verkeer van personen tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.”

28. Artikel 2 van genoemde richtlijn definieert inzonderheid de begrippen „persoonsgegevens”, „verwerking van persoonsgegevens” en „de voor de verwerking verantwoordelijke”.

29. Zo vormen volgens artikel 2, sub a, van richtlijn 95/46 persoonsgegevens „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon [...]; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit”.

30. Volgens artikel 2, sub b, van genoemde richtlijn omvat een verwerking van dergelijke gegevens „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

31. Artikel 2, sub d, van richtlijn 95/46 definieert de voor de verwerking verantwoordelijke als „de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt [...]”.

32. Betreffende de materiële werkingssfeer van richtlijn 95/46 bepaalt artikel 3, lid 1, dat deze „van toepassing [is] op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.

33. In de volgende bewoordingen geeft artikel 3, lid 2, aan dat één van de beperkingen van de materiële werkingssfeer van de richtlijn de volgende is:

„De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:

– die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied;

[...]”.

34. Hoofdstuk II van richtlijn 95/46 is gewijd aan de „[a]lgemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens”. In het kader van dit hoofdstuk, heeft afdeling I betrekking op de „[b]eginselen betreffende de kwaliteit van de gegevens”. Artikel 6 van deze richtlijn bevat een opsomming van deze beginselen van eerlijkheid, rechtmatigheid, doelmatigheid, evenredigheid en nauwkeurigheid van de verwerking van persoonsgegevens. Het luidt als volgt:

„1. De lidstaten bepalen dat de persoonsgegevens:

a) eerlijk en rechtmatig moeten worden verwerkt;

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden [...];

c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt [...];

e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is [...].

2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.”

35. Afdeling II van hoofdstuk II van genoemde richtlijn is gewijd aan de „[b]eginselen betreffende de toelaatbaarheid van gegevensbewerking”. Artikel 7, het enige artikel van deze afdeling, luidt als volgt:

„De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend,

of

b) de verwerking noodzakelijk is voor de uitvoering van de overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene,

of

c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is,

[...]”.

36. Ter zake van persoonsgegevens die in het algemeen als „gevoelig” worden gekwalificeerd, bepaalt artikel 8, lid 1, dat hun verwerking in beginsel is verboden. Het luidt namelijk: „De lidstaten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.” Op dit verbodsbeginsel bestaat echter een aantal uitzonderingen, waarvan de inhoud en de regeling in de volgende leden van dit artikel gedetailleerd worden uiteengezet.

37. Artikel 13, lid 1, van richtlijn 95/46, dat het opschrift „Uitzonderingen en beperkingen” draagt, bepaalt:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van:

a) de veiligheid van de staat;

b) de landsverdediging;

c) de openbare veiligheid;

d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van beroepscodes voor gereglementeerde beroepen;

e) een belangrijk economisch en financieel belang van een lidstaat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e) bedoelde gevallen;

g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.”

38. Het was eveneens de wens van de communautaire wetgever dat aan de aldus vastgestelde beschermingsregeling geen afbreuk zou worden gedaan wanneer de persoonsgegevens het grondgebied van de Gemeenschap verlaten. Het is namelijk gebleken dat een alleen voor het grondgebied van de Gemeenschap geldende regeling tekortschiet of zelfs zinloos is, gelet op de internationale dimensie van de informatiestromen(22) . De communautaire wetgever heeft daarom geopteerd voor een regeling in het kader waarvan de doorgifte van persoonsgegevens naar een derde land alleen is toegestaan wanneer dat derde land voor deze gegevens een „passend beschermingsniveau” garandeert.

39. De communautaire wetgever heeft daarom voorgeschreven dat de „doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden”.(23)

40. Dienovereenkomstig formuleert artikel 25 van richtlijn 95/46 de beginselen die in acht moeten worden genomen bij de doorgifte van persoonsgegevens naar derde landen:

„1. De lidstaten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.

2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doel […] en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.

3. De lidstaten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt.

4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, nemen de lidstaten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen.

5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering.

6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.

De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”

41. Ten slotte dient erop te worden gewezen dat in het kader van Titel VI van het EU-Verdrag, die betrekking heeft op de politiële en justitiële samenwerking in strafzaken, de bescherming van persoonsgegevens wordt geregeld door verschillende specifieke voorschriften. Het betreft met name voorschriften die op Europees niveau gemeenschappelijke informatiesystemen invoeren, zoals bijvoorbeeld de Overeenkomst tot uitvoering van het Akkoord van Schengen(24), die specifieke voorschriften bevat voor de gegevensbescherming in het kader van het Schengeninformatiesysteem (SIS)(25) ; de Overeenkomst op grond van artikel K.3 van het Verdrag betreffende de Europese Unie tot oprichting van een Europese politiedienst(26) ; het Besluit van de Raad betreffende de oprichting van Eurojust(27) en de bepalingen van het interne reglement van Eurojust betreffende de verwerking en bescherming van persoonsgegevens(28) ; de Overeenkomst opgesteld op grond van artikel K.3 van het Verdrag betreffende de Europese Unie inzake het gebruik van informatica op douanegebied, die bepalingen bevat betreffende de bescherming van persoonsgegevens die van toepassing zijn op het informatiesysteem van de douane(29) en de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie.(30)

42. Op 4 oktober 2005 heeft de Commissie een voorstel ingediend voor een kaderbesluit van de Raad betreffende de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en judiciële samenwerking in strafzaken.(31)

III – De aangevochten beslissingen

43. Ik zal de twee aangevochten beslissingen onderzoeken in de chronologische volgorde waarin zij werden vastgesteld.

A – De gelijkwaardigheidsbeschikking

44. De gelijkwaardigheidsbeschikking is door de Commissie vastgesteld op grond van artikel 25, lid 6, van richtlijn 95/46 dat, zoals bekend, haar de bevoegdheid verleent te constateren dat een derde land waarborgen biedt voor een passend beschermingsniveau voor persoonsgegevens.(32) Zoals vermeld in de tweede overweging van deze beschikking kunnen in dat geval „persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven”.

45. In de elfde overweging van deze beschikking zet de Commissie uiteen dat „[v]oor de verwerking door het CBP van de doorgegeven persoonsgegevens uit het PNR van vliegtuigpassagiers [...] de voorwaarden [gelden] die zijn vastgesteld in de verbintenissen van het Bureau of Customs and Border Protection (CBP) van het Department of Homeland Security van 11 mei 2004, [...] en in de interne wetgeving van de Verenigde Staten waarnaar in die verbintenissen wordt verwezen”. In de veertiende overweging van deze beschikking constateert de Commissie dan ook dat „[d]e normen die het CBP bij het verwerken van PNR-gegevens op basis van de VS-wetgeving en de verbintenissen zal hanteren, voldoen aan de vereiste grondbeginselen voor een passend beschermingsniveau voor natuurlijke personen”.

46. Bijgevolg bepaalt artikel 1 van de gelijkwaardigheidsbeschikking:

„Voor de toepassing van artikel 25, lid 2, van richtlijn 95/46/EG wordt het […] [CBP] geacht een passend beschermingsniveau te bieden voor PNR-gegevens die vanuit de Gemeenschap met betrekking tot vluchten van en naar de Verenigde Staten overeenkomstig de verbintenissen in de bijlage worden doorgegeven.”

47. Voorts bepaalt artikel 3 van de gelijkwaardigheidsbeschikking dat de doorgifte van gegevens aan het CBP op initiatief van de bevoegde autoriteiten van de lidstaten onder de volgende voorwaarden kan worden opgeschort:

„1. Onverminderd hun bevoegdheden om stappen te ondernemen ter naleving van nationale bepalingen die zijn vastgesteld ingevolge andere bepalingen dan artikel 25 van richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in de lidstaten gebruikmaken van hun bestaande bevoegdheden om de doorgifte van gegevens aan het CBP op te schorten, teneinde personen bij de verwerking van hun persoonsgegevens te beschermen in de volgende gevallen:

a) wanneer een bevoegde VS-autoriteit heeft vastgesteld dat het CBP in strijd met de toepasselijke normen voor gegevensbescherming handelt, of

b) wanneer het zeer waarschijnlijk is dat niet aan de in de bijlage vastgestelde normen voor gegevensbescherming wordt voldaan, er gegronde redenen zijn om aan te nemen dat het CBP niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade voor de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat naar de omstandigheden in redelijkheid inspanningen hebben geleverd om het CBP in kennis te stellen en de gelegenheid te geven te reageren.

2. De opschorting eindigt zodra is gewaarborgd dat de beschermingsnormen worden nageleefd en de bevoegde autoriteiten van de betrokken lidstaten hiervan in kennis zijn gesteld.”

48. De lidstaten moeten de Commissie op de hoogte stellen van de maatregelen die zij op grond van artikel 3 van de gelijkwaardigheidsbeschikking hebben genomen. Bovendien moeten de lidstaten en de Commissie krachtens artikel 4, lid 2, van deze richtlijn, elkaar in kennis stellen van iedere wijziging in de beschermingsnormen en van de gevallen waarin blijkt dat deze normen onvoldoende in acht worden genomen. Naar aanleiding van deze wederzijdse mededelingen bepaalt artikel 4, lid 3, van de gelijkwaardigheidsbeschikking dat „[w]anneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie mocht blijken dat niet langer aan de vereiste grondbeginselen voor een passend beschermingsniveau voor natuurlijke personen wordt voldaan, of dat een instantie die verantwoordelijk is voor de naleving door het CBP van de in de bijlage vastgestelde beschermingsnormen haar taak niet naar behoren vervult, [...] het CBP hiervan in kennis [wordt] gesteld en [...], indien nodig, de in artikel 31, lid 2, van richtlijn 95/46/EG bedoelde procedure [wordt] toegepast om deze beschikking in te trekken of op te schorten”.

49. Voorts schrijft artikel 5 van de gelijkwaardigheidsbeschikking voor dat de werking van de beschikking wordt geëvalueerd en dat „alle relevante bevindingen worden meegedeeld aan het bij artikel 31 van richtlijn 95/46/EG ingestelde comité”.

50. Bovendien bepaalt artikel 7 van de gelijkwaardigheidsbeschikking dat deze beschikking „drie jaar en zes maanden na de datum van de kennisgeving ervan [komt] te vervallen, tenzij zij overeenkomstig de in artikel 31, lid 2, van richtlijn 95/46/EG bedoelde procedure wordt verlengd”.

51. Bij deze beschikking is als bijlage gevoegd een verklaring betreffende de verbintenissen van het CBP, in de inleiding waarvan wordt gepreciseerd dat het dient ter „ondersteuning van het voornemen” van de Commissie om te erkennen dat het CBP een passende bescherming biedt voor de aan hem doorgegeven gegevens. Volgens de bewoordingen van deze verklaring, die 48 punten omvat, zullen deze verbintenissen niet leiden „tot het ontstaan of de overdracht van rechten of voordelen ten gunste van privaat‑ of publiekrechtelijke personen”.(33)

52. Ik zal in de loop van mijn uiteenzetting de wezenlijke inhoud aangeven van de voor de oplossing van het geschil relevante verbintenissen.

53. Ten slotte bevat de gelijkwaardigheidsbeschikking een aanhangsel „A”, waarin 34 rubrieken PNR-gegevens worden opgesomd die het CBP van de luchtvaartmaatschappijen verlangt.(34)

54. Deze beschikking van de Commissie is aangevuld bij het besluit van de Raad betreffende de sluiting van een internationale overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten.

IV – Het besluit van de Raad

55. Het besluit van de Raad is vastgesteld op grond van artikel 95 EG, juncto artikel 300, lid 2, eerste alinea, eerste volzin, EG.

56. In de eerste overweging valt te lezen dat „[o]p 23 februari 2004 de Raad de Commissie [heeft] gemachtigd namens de Gemeenschap met de Verenigde Staten van Amerika onderhandelingen te voeren over een overeenkomst inzake de verwerking en doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan het [CBP]”.(35) In de tweede overweging van dit besluit wordt uiteengezet dat „[h]et Europees Parlement [...] geen advies [heeft] uitgebracht binnen de termijn die de Raad op grond van artikel 300, lid 3, eerste alinea, van het Verdrag had vastgesteld in het licht van de dringende noodzaak een eind te maken aan de onzekerheid waarin luchtvaartmaatschappijen en passagiers verkeerden, en teneinde de financiële belangen van de betrokkenen te beschermen”.

57. Bij artikel 1 van het besluit van de Raad is de overeenkomst namens de Gemeenschap goedgekeurd. Daarnaast machtigt artikel 2 van het besluit de voorzitter van de Raad de personen aan te wijzen die bevoegd zijn de overeenkomst namens de Gemeenschap te ondertekenen.

58. De tekst van de overeenkomst is aan het besluit van de Raad gehecht. Artikel 7 van deze overeenkomst bepaalt dat zij bij de ondertekening ervan in werking treedt. Overeenkomstig dit artikel is de overeenkomst, die op 28 mei 2004 te Washington is ondertekend, op diezelfde dag in werking getreden.(36)

59. In de preambule van de overeenkomst erkennen de Gemeenschap en de Verenigde Staten „het belang van eerbiediging van de fundamentele rechten en vrijheden, met name het recht op privacy, en het belang van eerbiediging van deze waarden bij de voorkoming en bestrijding van terrorisme en daarmee samenhangende misdrijven en andere ernstige misdrijven van grensoverschrijdende aard, met inbegrip van de georganiseerde criminaliteit”.

60. De volgende teksten worden in de preambule van de overeenkomst genoemd: richtlijn 95/46 en inzonderheid artikel 7, sub c, daarvan, de verbintenissen van het CBP alsmede de gelijkwaardigheidsbeschikking.(37)

61. De overeenkomstsluitende partijen merken eveneens op dat „de luchtvaartmaatschappijen met boekings‑ en vertrekcontrolesystemen die zich op het grondgebied van de lidstaten van de Gemeenschap bevinden, voor doorgifte van PNR-gegevens aan het CBP moeten zorgen zodra dat technisch haalbaar is, maar dat de autoriteiten van de Verenigde Staten tot dan rechtstreeks toegang tot die gegevens dienen te krijgen overeenkomstig het bepaalde in deze overeenkomst”.(38)

62. Zo bepaalt punt 1 van de overeenkomst dat „[h]et CBP [...] elektronisch toegang [krijgt] tot de PNR-gegevens in de boekings‑ en vertrekcontrolesystemen van de luchtvaartmaatschappijen [...] die zich op het grondgebied van de lidstaten van de Europese Gemeenschap bevinden, zulks strikt overeenkomstig de beschikking(39) en zolang deze laatste van kracht is, echter slechts totdat er een afdoende systeem tot stand is gebracht dat de doorgifte van dergelijke gegevens door de luchtvaartmaatschappijen mogelijk maakt”.

63. Ter aanvulling van het aldus aan het CBP verleende recht om rechtstreeks toegang te krijgen tot de PNR-gegevens, verplicht punt 2 van de overeenkomst de luchtvaartmaatschappijen die internationale passagiersvluchten van of naar de Verenigde Staten uitvoeren ertoe de in hun geautomatiseerde boekingssystemen opgeslagen PNR-gegevens te verwerken „volgens de vereisten van het CBP krachtens de wetgeving van de Verenigde Staten, zulks strikt overeenkomstig de beschikking(40) en zolang deze laatste van kracht is”.

64. Voorts wordt in punt 3 van de overeenkomst gepreciseerd dat het CBP „kennis neemt” van de gelijkwaardigheidsbeschikking en „verklaart dat het de daaraan gehechte verbintenissen uitvoert”. Bovendien bepaalt punt 4 van de overeenkomst: „Het CBP verwerkt de ontvangen PNR-gegevens en behandelt de personen wier gegevens worden verwerkt overeenkomstig de toepasselijke wetgeving en grondwettelijke vereisten van de Verenigde Staten, zonder onwettige discriminatie, en met name zonder aanzien van nationaliteit of land van verblijf.”

65. Bovendien verplichten het CBP en de Gemeenschap zich ertoe, de uitvoering van de overeenkomst gezamenlijk en op gezette tijden te onderzoeken.(41) De overeenkomst bepaalt eveneens dat „[w]anneer in de Europese Unie een identificatiesysteem van vliegtuigpassagiers wordt ingevoerd, in het kader waarvan de luchtvaartmaatschappijen ertoe worden verplicht de autoriteiten toegang te verlenen tot de PNR-gegevens van passagiers wier reis een vlucht in of uit de Verenigde Staten inhoudt, het Department of Homeland Security voorzover mogelijk en met strikte inachtneming van het wederkerigheidsbeginsel, de onder zijn bevoegdheid vallende luchtvaartmaatschappijen actief aanmoedigt samen te werken”.(42)

66. Naast de bepaling dat de overeenkomst bij de ondertekening ervan in werking treedt, preciseert punt 7 dat elke partij haar te allen tijde mag opzeggen. In dat geval treedt de overeenkomst 90 dagen na de datum van de kennisgeving van opzegging aan de andere partij buiten werking. Bovendien is in hetzelfde punt voorzien dat de overeenkomst te allen tijde met schriftelijke wederzijdse instemming kan worden gewijzigd.

67. Ten slotte bepaalt punt 8 van de overeenkomst dat „[d]eze overeenkomst [...] niet ten doel [heeft] van de wetgeving van de partijen af te wijken of deze wetgeving te wijzigen; zij schept of verleent geen rechten of voordelen voor enige andere particuliere of openbare persoon of entiteit”.

A – De door het Parlement in beide zaken aangevoerde middelen

68. In zaak C‑317/04 voert het Parlement tegen het besluit van de Raad zes middelen aan:

– onj uiste keuze van artikel 95 EG als rechtsgrondslag;

– schending van artikel 300, lid 3, tweede alinea, EG, wegens een wijziging van richtlijn 95/46;

– schending van het recht op bescherming van persoonsgegevens;

– schending van het evenredigheidsbeginsel;

– ontoereikende motivering van het litigieuze besluit;

– schending van het beginsel van loyale samenwerking als bedoeld in artikel 10 EG.

69. Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland alsmede de Commissie zijn toegelaten tot interventie ter ondersteuning van de conclusies van de Raad.(43) Bovendien is de Europese toezichthouder voor gegevensbescherming (hierna: „ETGB”) toegelaten tot interventie ter ondersteuning van de conclusies van het Parlement.(44)

70. In zaak C‑318/04 voert het Parlement tegen de gelijkwaardigheidsbeschikking vier middelen aan:

– bevoegdheidsoverschrijding;

– schending van de essentiële beginselen van richtlijn 95/46;

– schending van de grondrechten;

– schending van het evenredigheidsbeginsel.

71. Het Verenigd Koninkrijk is toegelaten tot interventie ter ondersteuning van de conclusies van de Commissie.(45) Bovendien is de ETGB toegelaten tot interventie ter ondersteuning van de conclusies van het Parlement.(46)

72. Ik zal de twee beroepen onderzoeken in de volgorde van de data waarop de litigieuze beslissingen zijn vastgesteld. Ik begin dus met het onderzoek van het beroep tot nietigverklaring van de gelijkwaardigheidsbeschikking (zaak C‑318/04) en bespreek vervolgens het beroep tot nietigverklaring van het besluit van de Raad (zaak C‑317/04).

V – Het beroep tot nietigverklaring van de gelijkwaardigheidsbeschikking (zaak C‑318/04)

A – Het middel dat de Commissie zich door het vaststellen van de gelijkwaardigheidsbeschikking heeft schuldig gemaakt aan bevoegdheidsoverschrijding

1. Argumenten van partijen

73. Ter ondersteuning van dit middel voert het Parlement in de eerste plaats aan dat de gelijkwaardigheidsbeschikking, aangezien zij de verwezenlijking beoogt van een doelstelling die onder de openbare veiligheid en het strafrecht valt, richtlijn 95/46 schendt omdat zij betrekking heeft op een gebied dat ratione materiae van de werkingssfeer van deze richtlijn is uitgesloten. Deze uitsluiting zou uitdrukkelijk zijn voorzien in artikel 3, lid 2, eerste streepje, van richtlijn 95/46 en laat geen enkele ruimte voor een uitlegging die haar reikwijdte zou kunnen beperken. Het feit dat de persoonsgegevens zijn verzameld bij de uitoefening van een economische activiteit, te weten de verkoop van een vliegticket dat recht geeft op een dienstverrichting, zou de toepassing van deze richtlijn, en inzonderheid van artikel 25 daarvan, op een gebied dat van haar werkingssfeer is uitgesloten, niet rechtvaardigen.

74. In de tweede plaats voert het Parlement aan dat het CBP niet een derde land is in de zin van artikel 25 van richtlijn 95/46. Dit artikel schrijft in lid 6 voor dat een beslissing van de Commissie waarin het passende beschermingsniveau van persoonsgegevens wordt geconstateerd, betrekking heeft op een „derde land”, dat wil zeggen een staat of een vergelijkbare entiteit, en niet een van de uitvoerende macht van een staat deel uitmakende overheidsinstantie of een onderdeel daarvan.

75. In de derde plaats is het Parlement van mening dat de vaststelling door de Commissie van de gelijkwaardigheidsbeschikking bevoegdheidsoverschrijding oplevert voorzover de verbintenissenverklaring die eraan is gehecht uitdrukkelijk de doorgifte door het CBP van PNR-gegevens aan andere overheidsautoriteiten in Amerika of andere landen toestaat.

76. In de vierde plaats meent het Parlement dat de gelijkwaardigheidsbeschikking bepaalde beperkingen en uitzonderingen bevat op de beginselen die in richtlijn 95/46 zijn genoemd, ofschoon artikel 13 daarvan deze bevoegdheid uitsluitend aan de lidstaten voorbehoudt. Aldus zou de Commissie, door de vaststelling van de gelijkwaardigheidsbeschikking, de plaats hebben ingenomen van een lidstaat en daardoor artikel 13 van de richtlijn hebben miskend. Door de vaststelling van een maatregel tot uitvoering van richtlijn 95/46 zou de Commissie zich bevoegdheden hebben toegemeten die strikt aan de lidstaten zijn voorbehouden.

77. In de vijfde plaats beroept het Parlement zich op het argument dat de terbeschikkingstelling van gegevens door middel van het „pull”-(extractie-) systeem niet een „doorgifte” vormt in de zin van artikel 25 van richtlijn 95/46, en derhalve niet kan worden toegestaan.

78. Ten slotte is deze instelling van mening dat de beschikking, gelet op de samenhang tussen de gelijkwaardigheidsbeschikking en de overeenkomst, geacht moet worden een voor de verplichte doorgifte van PNR-gegevens ongeschikte maatregel te zijn.

79. Anders dan het Parlement, meent de ETGB dat het feit dat aan een persoon of een instelling van een derde land toegang tot de gegevens wordt verleend, geacht kan worden een doorgifte te vormen, zodat artikel 25 van richtlijn 95/46 daarop van toepassing is. Volgens de ETGB namelijk zou een beperking van het begrip tot een doorgifte door de verzender tot omzeiling van de in dit artikel gestelde voorwaarden kunnen leiden en aldus afbreuk kunnen doen aan de in dit artikel voorziene gegevensbescherming.

80. Bijgestaan door het Verenigd Koninkrijk, is de Commissie van mening dat de activiteiten van luchtvaartmaatschappijen binnen de werkingssfeer van het gemeenschapsrecht vallen en dat richtlijn 95/46 bijgevolg volledig van toepassing blijft. De regeling die in het kader van de doorgifte van PNR-gegevens is ontworpen zou geen betrekking hebben op activiteiten van een lidstaat of overheidsinstellingen die buiten de werkingssfeer van het gemeenschapsrecht vallen.

81. Voorts wijst de Commissie erop dat de overeenkomst namens de Verenigde Staten is ondertekend en niet namens een overheidsinstantie. Aangaande de latere doorgiften van PNR-gegevens door het CBP is de Commissie van oordeel dat de bescherming van persoonsgegevens niet onverenigbaar is met de machtiging dergelijke doorgiften te verrichten, mits daaraan passende en noodzakelijke beperkingen worden gesteld.

82. Ten slotte merkt de Commissie op dat artikel 13 van richtlijn 95/46 in de onderhavige zaak niet relevant is en dat de „doorgifte” in de zin van artikel 25 van deze richtlijn voor de luchtvaartmaatschappijen erin bestaat dat de PNR-gegevens daadwerkelijk ter beschikking van het CBP worden gesteld. Het onderzochte systeem zou dus wel degelijk neerkomen op een doorgifte van gegevens in de zin van richtlijn 95/46.

2. Beoordeling

83. Met zijn eerste middel voert het Parlement aan, dat de gelijkwaardigheidsbeschikking richtlijn 95/46 schendt en met name de artikelen 3, lid 2, 13 en 25 daarvan. Inzonderheid stelt het dat deze beschikking ten onrechte is gebaseerd op de door deze richtlijn gevormde basishandeling.

84. Zoals ik al heb uiteengezet, heeft richtlijn 95/46 tot doel om, met het oog op de oprichting en het functioneren van de interne markt, hinderpalen voor het vrije verkeer van persoonsgegevens uit de weg te ruimen door in de lidstaten een gelijkwaardig beschermingsniveau te creëren van de rechten en de vrijheden van personen in verband met de verwerking van dergelijke gegevens.

85. Het was eveneens de wens van de communautaire wetgever dat aan het aldus ingevoerde beschermingsstelsel geen afbreuk zou worden gedaan wanneer de persoonsgegevens het communautaire grondgebied verlaten. Hij heeft daarom geopteerd voor een stelsel dat een doorgifte van persoonsgegevens naar een derde land alleen toestaat wanneer dit land waarborgt dat deze gegevens een passend beschermingsniveau genieten. Dienovereenkomstig bevat richtlijn 95/46 het beginsel dat doorgifte van persoonsgegevens naar een derde land moet worden verboden wanneer dit land niet een passend beschermingsniveau waarborgt.

86. Artikel 25 van deze richtlijn legt aan de lidstaten een reeks van verplichtingen op en draagt de Commissie op de doorgifte van persoonsgegevens naar derde landen te controleren, waarbij rekening moet worden gehouden met het aan deze gegevens in elk van deze landen verleende beschermingsniveau. Het schrijft eveneens de methode en de criteria voor op grond waarvan een derde land geacht kan worden een passend beschermingsniveau te waarborgen voor de persoonsgegevens die aan hem zijn doorgegeven.

87. Het Hof heeft de regeling betreffende de doorgifte van persoonsgegevens naar een derde land gekwalificeerd als een „bijzondere regeling met specifieke voorschriften [...], die beoogt een controle door de lidstaten van de doorgiften van persoonsgegevens naar derde landen te waarborgen”. Het heeft eveneens gepreciseerd dat het een regeling betreft „die een aanvulling is op de algemene regeling van hoofdstuk II van die richtlijn, dat de rechtmatigheid van verwerkingen van persoonsgegevens betreft”.(47)

88. De specificiteit van de voorschriften die de doorgifte van persoonsgegevens naar derde landen regelen wordt grotendeels verklaard door de sleutelrol die aan het begrip passende bescherming wordt toegekend. Ter bepaling van de reikwijdte van dit begrip dient het duidelijk te worden onderscheiden van het begrip gelijkwaardige bescherming, dat vereist dat het derde land daadwerkelijk alle in richtlijn 95/46 genoemde beginselen erkent en toepast.

89. Het begrip passende bescherming betekent dat het derde land in staat moet zijn een aangepaste bescherming te waarborgen, volgens een model dat qua beschermingsniveau van persoonsgegevens aanvaardbaar wordt geacht. Een dergelijk systeem, gebaseerd op de passende aard van de door een derde land gewaarborgde bescherming, laat aan de lidstaten en de Commissie een ruime beoordelingsmarge bij hun waardering van de in het land van bestemming van de gegevens bestaande waarborgen. Deze beoordeling vindt plaats aan de hand van artikel 25, lid 2, van richtlijn 95/46, dat een opsomming bevat van enige factoren waarmee bij deze waardering rekening kan worden gehouden.(48) In dit verband heeft de communautaire wetgever als regel geformuleerd dat „[h]et passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgifte van invloed zijn”.

90. Zoals het Hof al heeft vastgesteld, bevat richtlijn 95/46 geen definitie van het begrip „doorgifte naar een derde land”.(49) Zij preciseert inzonderheid niet of het begrip uitsluitend slaat op de handeling waarmee een voor de verwerking verantwoordelijke de persoonsgegevens actief meedeelt aan een derde land dan wel of het zich uitstrekt tot het geval waarin een entiteit van een derde land het recht heeft zich toegang te verschaffen tot de gegevens die zich in een lidstaat bevinden. Deze richtlijn laat zich derhalve niet uit over de vraag, volgens welke methode de doorgifte van gegevens naar een derde land kan plaatsvinden.

91. Anders dan het Parlement, ben ik van mening dat in het onderhavige geval de toegang tot de PNR-gegevens waartoe het CBP is gerechtigd, onder het begrip „doorgifte naar een derde land” valt. Kenmerkend voor de aard van een dergelijke doorgifte is mijns inziens namelijk de stroom van gegevens van een lidstaat naar een derde land, in casu de Verenigde Staten.(50) Het is in dit verband van weinig belang dat de doorgifte wordt uitgevoerd door de verzender of door de ontvanger. Zoals de ETGB uiteenzet, zouden de in dit artikel gestelde voorwaarden gemakkelijk kunnen worden omzeild, indien de reikwijdte van artikel 25 van richtlijn 95/46 werd beperkt tot door de verzender verrichte doorgiften.

92. Na deze precisering dient nochtans de aandacht te worden gevestigd op het feit dat hoofdstuk IV van de genoemde richtlijn, waarvan artikel 25 deel uitmaakt, niet de strekking heeft alle doorgiften van persoonsgegevens, van welke aard ook, naar derde landen te regelen. Volgens de bewoordingen van artikel 25, lid 1, van de richtlijn, heeft het slechts betrekking op de doorgifte van persoonsgegevens „ die aan een verwerking worden onderworpen, of die bestemd zijn om na de doorgifte te worden verwerkt ”.

93. Ik herinner er in dit verband aan dat volgens artikel 2, sub b, van richtlijn 95/46 onder verwerking van persoonsgegevens moet worden verstaan „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, [...] raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen [...]”.(51)

94. Ongeacht haar specificiteit, die, zoals wij hebben gezien, grotendeels berust op het begrip gelijkwaardigheid, moet de regeling betreffende de doorgifte van persoonsgegevens naar derde landen voldoen aan de voorschriften betreffende de werkingssfeer van richtlijn 95/46, waarvan zij deel uitmaakt.(52)

95. Om onder de bepalingen van artikel 25 van richtlijn 95/46 te vallen moet een doorgifte naar een derde land betrekking hebben op persoonsgegevens waarvan de verwerking, ongeacht of deze momenteel binnen de Gemeenschap plaatsvindt of slechts wordt beoogd in een derde land, binnen de werkingssfeer van deze richtlijn valt. Alleen onder deze voorwaarde kan een gelijkwaardigheidsbeschikking een geldige uitvoeringshandeling van richtlijn 95/46 vormen.

96. In dit verb and zij eraan herinnerd dat ratione materiae de genoemde richtlijn niet van toepassing is op alle verwerkingen van persoonsgegevens die onder een van de in artikel 2, sub b, bedoelde verwerkingshandelingen kunnen vallen. Artikel 3, lid 2, eerste streepje, van richtlijn 95/46 bepaalt namelijk dat de richtlijn niet van toepassing is op de verwerking van persoonsgegevens „die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid , defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied ”.(53)

97. Ik ben van mening dat de raadpleging, het gebruik door het CBP en het aan deze laatste ter beschikking stellen van vliegtuigpassagiersgegevens, afkomstig uit de reserveringssystemen van luchtvaartmaatschappijen die gevestigd zijn op het grondgebied van de lidstaten, verwerkingen van persoonsgegevens vormen die de openbare veiligheid tot doel hebben en betrekking hebben op handelingen van de staat op strafrechtelijk gebied. Deze verwerkingen vallen bijgevolg buiten de materiële werkingssfeer van richtlijn 95/46.

98. Uit de bewoordingen van de gelijkwaardigheidsbeschikking blijkt de doelstelling van de verwerkingen waaraan de persoonsgegevens van vliegtuigpassagiers worden onderworpen. Zo preciseert de Commissie – na te hebben vermeld dat de vereisten inzake de doorgifte van persoonsgegevens uit het PNR van vliegtuigpassagiers aan het CBP zijn gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd en op uitvoeringsvoorschriften die krachtens die wet door het CBP zijn vastgesteld(54) – dat één van de doelstellingen van de Amerikaanse wetgeving „een grotere veiligheid”(55) is. Eveneens wijst zij erop dat „[d]e Gemeenschap [...] de Verenigde Staten ten volle [steunt] in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht”.(56)

99. Voorts bepaalt de vijftiende overweging van de gelijkwaardigheidsbeschikking dat „de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven”.

100. Richtlijn 95/46, en inzonderheid artikel 25, lid 6, daarvan, kan mijns inziens geen passende grondslag vormen voor de vaststelling door de Commissie van een uitvoeringshandeling zoals een beschikking betreffende het passende beschermingsniveau van persoonsgegevens die het voorwerp zijn van uitdrukkelijk van haar werkingssfeer uitgesloten verwerkingen. Het op grond van deze richtlijn goedkeuren van de doorgiften van deze gegevens zou er immers op neerkomen dat haar werkingssfeer op oneigenlijke wijze wordt uitgebreid.

101. Men bedenke evenwel dat richtlijn 95/46, die is vastgesteld op grond van artikel 100 A EG-Verdrag, beschermingsbeginselen definieert die moeten worden toegepast op verwerkingen van persoonsgegevens wanneer de activiteiten van de verantwoordelijke voor de verwerkingen binnen de werkingssfeer van het gemeenschapsrecht vallen, maar dat zij, juist wegens de keuze van haar rechtsgrondslag, niet geschikt is staatsactiviteiten te regelen, zoals die betreffende de openbare veiligheid of de vervolging van strafbare feiten, die niet binnen de werkingssfeer van het gemeenschapsrecht vallen.(57)

102. Het is juist dat de verwerking bestaande in het verzamelen en het vastleggen van gegevens van vliegtuigpassagiers door luchtvaartmaatschappijen in het algemeen een commercieel doel dient, aangezien zij rechtstreeks verband houdt met het verloop van de door de luchtvaartmaatschappij uit te voeren vlucht. Het is dan ook juist ervan uit te gaan dat PNR-gegevens oorspronkelijk door luchtvaartmaatschappijen worden verzameld in het kader van een activiteit die onder het gemeenschapsrecht valt, te weten de verkoop van een vliegticket dat recht geeft op een dienstverrichting. De gegevensverwerking in de gelijkwaardigheidsbeschikking is echter van geheel andere aard, aangezien zij betrekking heeft op een latere fase dan de oorspronkelijke verzameling van gegevens. Zij betreft namelijk, zoals wij hebben gezien, het raadplegen, het gebruik door het CBP en de terbeschikkingstelling aan deze laatste van vliegtuigpassagiersgegevens, afkomstig uit de reserveringssystemen van op het grondgebied van de lidstaten gevestigde luchtvaartmaatschappijen.

103. In werkelijkheid heeft de gelijkwaardigheidsbeschikking geen betrekking op een gegevensverwerking die noodzakelijk is voor het verrichten van een dienst, maar op een verwerking die noodzakelijk wordt geacht voor de bescherming van de openbare veiligheid en met het oog op de vervolging van strafbare feiten. Dit is de doelstelling van de doorgifte en de verwerking van PNR-gegevens. Bijgevolg kan de omstandigheid dat de persoonsgegevens zijn verzameld in het kader van een economische activiteit mijns inziens niet de toepassing van richtlijn 95/46 en inzonderheid van artikel 25 daarvan rechtvaardigen op een gebied dat van haar werkingssfeer is uitgesloten.

104. Mijns inziens wettigen deze argumenten de conclusie dat, zoals het Parlement meent, de Commissie krachtens artikel 25 van richtlijn 95/46 niet de bevoegdheid had een beschikking vast te stellen betreffende het passende beschermingsniveau van persoonsgegevens die worden doorgegeven in het kader van en met het oog op een verwerking die uitdrukkelijk buiten de werkingssfeer van deze richtlijn valt.(58)

105. Deze gelijkwaardigheidsbeschikking is derhalve in strijd met de basishandeling, zijnde richtlijn 95/46, en inzonderheid met artikel 25 daarvan, dat daarvoor niet de juiste grondslag vormt. Daarom moet zij naar mijn mening worden nietig verklaard.

106. Aangezien ik voorts van mening ben dat de gelijkwaardigheidsbeschikking buiten de werkingssfeer van richtlijn 95/46 valt, komt het mij niet relevant voor om deze beschikking te toetsen aan de essentiële beginselen die in die richtlijn zijn vervat, zoals het Parlement in zijn tweede middel verzoekt(59) . Ik ben daarom van mening dat dit tweede middel niet behoeft te worden onderzocht.

107. Aangaande het derde en het vierde middel van het onderhavige beroep, die ik slechts subsidiair zal onderzoeken, ben ik van mening dat zij niet afzonderlijk kunnen worden onderzocht, omdat de vaststelling van een eventuele schending van de fundamentele rechten door de gelijkwaardigheidsbeschikking noodzakelijkerwijs de beoordeling omvat of deze handeling evenredig is in verhouding tot de ermee nagestreefde doelstelling. Ik geef het Hof daarom in overweging het derde en het vierde middel gezamenlijk te onderzoeken.

B – De middelen gebaseerd op schending van fundamentele rechten en het evenredigheidsbeginsel

108. Het Parlement betoogt dat de gelijkwaardigheidsbeschikking niet het recht op de bescherming van persoonsgegevens respecteert, zoals gewaarborgd bij artikel 8 EVRM. Meer in het bijzonder is het, gelet op de bij dit artikel gestelde voorwaarden, van mening dat deze beschikking een niet in de wet voorziene inmenging in het privéleven oplevert, omdat sprake is van een maatregel die toegankelijk noch voorzienbaar is. Bovendien acht het Parlement deze maatregel onevenredig in verhouding tot het ermee nagestreefde doel, met name gelet op het buitensporige aantal PNR-rubrieken dat wordt verlangd en de buitensporig lange bewaringstermijn van de gegevens.

109. In het door hem ingestelde beroep in zaak C‑317/04 strekkend tot nietigverklaring van het besluit van de Raad, draagt het Parlement eveneens deze twee middelen voor en onderbouwt het dit met elkaar grotendeels overlappende argumenten. Ik ben van mening dat deze in de beide aan het Hof voorgelegde zaken voorgedragen middelen gezamenlijk moeten worden onderzocht en wel in het kader van mijn uiteenzetting in zaak C‑317/04.

110. Uit de door partijen in hun memories ontwikkelde argumenten blijkt namelijk dat het niet mogelijk is om, in het licht van het recht op eerbiediging van het privéleven, de componenten van de regeling betreffende de verwerking van PNR-gegevens door het CBP(60) – bestaande in de bij het besluit van de Raad goedgekeurde overeenkomst, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP die aan die beschikking van de Commissie zijn gehecht – afzonderlijk te bezien. Ter onderbouwing van hun betoog verwijzen partijen bovendien herhaaldelijk naar een van die handelingen.

111. De onderlinge samenhang van deze drie componenten van de PNR-regeling blijkt uitdrukkelijk uit de bewoordingen van de overeenkomst. Zowel de verbintenissen van het CBP als de gelijkwaardigheidsbeschikking worden namelijk in de preambule van de overeenkomst genoemd. Vervolgens preciseert punt 1 van deze overeenkomst dat het CBP toegang verkrijgt tot de PNR-gegevens „zulks strikt overeenkomstig de [gelijkwaardigheids]beschikking en zolang [de beschikking] van kracht is [...]”. Insgelijks moeten volgens punt 2 van deze overeenkomst de aldaar genoemde luchtvaartmaatschappijen de PNR-gegevens weliswaar „volgens de vereisten van het CBP krachtens de wetgeving van de Verenigde Staten” verwerken, doch „strikt overeenkomstig [de gelijkwaardigheidsbeschikking] en zolang [de beschikking] van kracht is”. Punt 3 van de overeenkomst bepaalt ten slotte: „Het CBP neemt kennis van [de gelijkwaardigheidsbeschikking] en verklaart dat het de daaraan gehechte verbintenissen uitvoert”.

112. Uit deze gegevens volgt dat zowel het recht van toegang tot de PNR-gegevens, dat door de overeenkomst aan het CBP wordt verleend, als de aan de in deze overeenkomst genoemde luchtvaartmaatschappijen opgelegde verplichting om deze gegevens te verwerken, aan de strikte en daadwerkelijke toepassing van de gelijkwaardigheidsbeschikking zijn onderworpen.

113. Zowel de onderlinge samenhang tussen de drie componenten van de PNR-regeling als het feit dat de middelen berustend op schending van de grondrechten en het evenredigheidsbeginsel door het Parlement zijn voorgedragen in de twee zaken die het Hof moet beslechten, nopen mij ertoe deze middelen aldus te verstaan dat zij beogen door het Hof te doen vaststellen dat de PNR-regeling in zijn drie componenten onverenigbaar is met het bij artikel 8 EVRM gewaarborgde recht op respect voor het privéleven. Het zou mijns inziens gekunsteld zijn de gelijkwaardigheidsbeschikking te onderzoeken zonder daarbij rekening te houden met de overeenkomst, die aan de luchtvaartmaatschappijen bepaalde verplichtingen oplegt en, omgekeerd, deze overeenkomst te onderzoeken zonder rekening te houden met de andere van toepassing zijnde teksten waarnaar zij met zoveel woorden verwijst.

114. Gelet op het feit dat het systeem uit verschillende onlosmakelijk verbonden elementen bestaat, dient het onderzoek derhalve niet op gekunstelde wijze te worden opgesplitst.

115. De inbreuk op het privéleven wordt, in dit licht bezien, gevormd door de overeenkomst die bij het besluit van de Raad is goedgekeurd, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP. Teneinde na te gaan of deze inbreuk in de wet is voorzien, een legitiem doel nastreeft en noodzakelijk is in een democratische maatschappij, moet tevens rekening worden gehouden met het aldus gecreëerde „drie snelheden-”mechanisme, zoals het Parlement dit in zijn twee verzoekschriften doet. Om een globaal overzicht van de PNR-regeling te krijgen, zal ik tot dit onderzoek overgaan in het kader van het beroep tot nietigverklaring van het besluit van de Raad.

VI – Het beroep tot nietigverklaring van het besluit van de Raad (zaak C‑317/04)

A – Het middel gebaseerd op de onjuiste keuze van artikel 95 EG als rechtsgrondslag voor het besluit van de Raad

1. Argumenten van partijen

116. Het Europees Parlement stelt dat artikel 95 EG niet de juiste rechtsgrondslag is voor het besluit van de Raad. Dit besluit heeft namelijk niet de oprichting en de werking van de interne markt tot doel en inhoud. Het besluit van de Raad heeft veeleer tot doel de door de Amerikaanse wetgeving aan de op het grondgebied van de Gemeenschap gevestigde luchtvaartmaatschappijen voorgeschreven verwerking van persoonsgegevens te legaliseren. Dit besluit preciseert niet in hoeverre deze legalisatie van de doorgifte van gegevens naar een derde land bijdraagt tot de oprichting of de werking van de interne markt.

117. Volgens het Parlement rechtvaardigt de inhoud van het besluit van de Raad evenmin een beroep op artikel 95 EG als rechtsgrondslag. Dit besluit legt het recht van het CBP op toegang tot het reserveringssysteem van de luchtvaartmaatschappijen op het grondgebied van de Gemeenschap vast met het oog op de uitvoering van vluchten tussen de Verenigde Staten en de lidstaten overeenkomstig de Amerikaanse wetgeving, teneinde terrorisme te voorkomen en te bestrijden. De verwezenlijking van deze doeleinden valt evenwel niet binnen de werkingssfeer van artikel 95 EG.

118. Ten slotte voegt het Parlement hieraan toe dat artikel 95 EG niet de grondslag kan vormen voor de bevoegdheid van de Gemeenschap om de onderhavige overeenkomst te sluiten, aangezien deze overeenkomst betrekking heeft op gegevensverwerkingen die ten behoeve van de openbare veiligheid worden verricht en derhalve buiten de werkingssfeer vallen van richtlijn 95/46, die op voornoemd verdragsartikel berust.

119. Daarentegen is de Raad van mening dat zijn besluit terecht op artikel 95 EG is gebaseerd. Volgens hem kan dit artikel de basis vormen voor maatregelen die tot doel hebben te verzekeren dat de mededingingsvoorwaarden in de interne markt niet worden vervalst. Hij betoogt in dit verband dat de overeenkomst beoogt elke verstoring van de mededinging, om redenen in verband met de bescherming van de rechten en vrijheden van personen, tussen luchtvaartmaatschappijen uit de lidstaten en tussen deze laatste en maatschappijen uit derde landen, die het gevolg kan zijn van de door de Verenigde Staten gestelde eisen, op te heffen. De mededingingsvoorwaarden voor de maatschappijen uit de lidstaten die internationaal passagiersvervoer naar of vanuit de Verenigde staten verzorgen, hadden kunnen worden vervalst indien slechts enkele maatschappijen de autoriteiten van de Verenigde Staten toegang tot hun databanken hadden verleend.

120. In dezelfde lijn beklemtoont de Raad enerzijds dat aan de luchtvaartmaatschappijen die niet aan de Amerikaanse vereisten voldeden, wellicht boetes door de Amerikaanse autoriteiten zouden zijn opgelegd, hun vluchten zouden vertraging hebben ondervonden en zij zouden wellicht passagiers hebben verloren aan andere luchtvaartmaatschappijen die wél regelingen hadden getroffen met de Verenigde Staten. Anderzijds zouden sommige lidstaten de luchtvaartmaatschappijen die de betreffende persoonsgegevens doorgaven wellicht hebben bestraft, terwijl andere lidstaten niet noodzakelijkerwijs op dezelfde manier zouden zijn opgetreden.

121. De Raad is van mening dat er in deze omstandigheden en bij gebreke van een gemeenschappelijke regeling betreffende de toegang van Amerikaanse autoriteiten tot de PNR-gegevens, gevaar voor vervalsing van de mededingingsvoorwaarden bestond en de eenheid van de interne markt ernstig gevaar liep. Het was derhalve volgens hem noodzakelijk geharmoniseerde voorwaarden voor de toegang van de Amerikaanse autoriteiten tot die gegevens vast te stellen, onder waarborging van de communautaire vereisten betreffende de eerbiediging van de grondrechten. Het zou daarbij gaan om het opleggen van geharmoniseerde verplichtingen aan alle betrokken luchtvaartmaatschappijen en het externe aspect van de oprichting en de werking van de interne markt.

122. Ten slotte wijst de Raad erop dat de overeenkomst is gesloten ná de gelijkwaardigheidsbeschikking, die is vastgesteld op grond van artikel 25, lid 6, van richtlijn 95/46. Volgens hem was het dus normaal en juist om het besluit tot sluiting van de overeenkomst op dezelfde rechtsgrondslag als die van de genoemde richtlijn te baseren, te weten artikel 95 EG.

123. In haar memorie in interventie beklemtoont de Commissie dat de bepalingen van de preambule van de overeenkomst aantonen dat, wat de Verenigde Staten betreft, het hoofddoel de bestrijding van het terrorisme is, terwijl voor de Gemeenschap het voornaamste doel bestaat in de handhaving van de belangrijkste elementen van haar wetgeving aangaande de bescherming van persoonsgegevens.

124. Ze merkt op dat het Parlement, hoewel het de keuze van artikel 95 EG als rechtsgrondslag voor het besluit van de Raad bekritiseert, geen geloofwaardig alternatief voorstelt. Volgens de Commissie vormt dit artikel de „natuurlijke” rechtsgrondslag van het besluit van de Raad, aangezien de externe dimensie van de bescherming van persoonsgegevens mo et worden gebaseerd op het verdragsartikel dat de grondslag vormt van de interne maatregel, zijnde richtlijn 95/46, temeer daar dit externe aspect met zoveel woorden wordt genoemd in de artikelen 25 en 26 van genoemde richtlijn. Gelet voorts op het nauwe verband en de onderlinge samenhang tussen de overeenkomst, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP, blijkt artikel 95 EG de passende rechtsgrondslag te zijn. De Commissie stelt dat de Raad hoe dan ook bevoegd was de overeenkomst op grond van dit artikel te sluiten, omdat aan richtlijn 95/46 afbreuk zou zijn gedaan in de zin van het arrest AETR,(61) indien de lidstaten een dergelijke overeenkomst, afzonderlijk of gezamenlijk, buiten het communautaire kader hadden gesloten.

125. Tot slot stelt de Commissie dat de gegevens door de luchtvaartmaatschappijen in eerste instantie met een commercieel doel worden verwerkt. Het gebruik dat de autoriteiten van de Verenigde Staten van die gegevens maken, doet deze dan ook niet buiten de werkingssfeer van de richtlijn vallen.

2. Beoordeling

126. Met zijn eerste middel verzoekt het Parlement het Hof te beslissen of artikel 95 EG een passende rechtsgrondslag vormt voor het besluit van de Raad tot sluiting door de Gemeenschap van een internationale overeenkomst zoals die welke in de onderhavige zaak aan de orde is. De beantwoording van deze vraag dient te geschieden aan de hand van de vaste rechtspraak van het Hof, volgens welke de keuze van de rechtsgrondslag van een communautaire handeling moet berusten op objectieve gegevens die voor rechterlijke toetsing vatbaar zijn, waaronder inzonderheid het doel en de inhoud van de handeling.(62) Immers, „[i]n het kader van het stelsel van bevoegdheden van de Gemeenschap mag de keuze van de rechtsgrondslag van een handeling niet alleen afhangen van de opvatting van een instelling omtrent het nagestreefde doel [...]”.(63)

127. Ik herinner eraan dat het Hof heeft geoordeeld dat „de keuze van de juiste rechtsgrondslag van constitutioneel belang is. Daar de Gemeenschap slechts beschikt over bevoegdheden die haar uitdrukkelijk zijn toegekend, moet zij [de betrokken internationale overeenkomst] baseren op een bepaling van het Verdrag die haar machtigt tot het goedkeuren van een dergelijke handeling”. Volgens het Hof maakt „[d]e keuze van een onjuiste rechtsgrondslag [...] derhalve de handeling tot sluiting van het akkoord zelf ongeldig en daarmee ook de instemming van de Gemeenschap om door het door haar gesloten akkoord te worden gebonden”.(64)

128. Overeenkomstig de door het Hof toegepaste onderzoeksmethode zal ik derhalve nagaan of de Raad op grond van het doel en de inhoud van de overeenkomst gerechtigd was om op grond van artikel 95 EG een besluit te nemen dat volgens artikel 1 ervan tot doel had, de overeenkomst namens de Gemeenschap goed te keuren.

129. Aangaande het doel van de overeenkomst blijkt uit punt 1 van de preambule dat dit tweeledig is, te weten enerzijds de voorkoming en bestrijding van terrorisme en daarmee samenhangende misdrijven en andere ernstige misdrijven van grensoverschrijdende aard, met inbegrip van de georganiseerde criminaliteit(65), en anderzijds de eerbiediging van de fundamentele rechten en vrijheden, met name het recht op privacy.

130. Het nastreven van de doelstelling van bestrijding van terrorisme en andere ernstige misdrijven blijkt uit de verwijzing, in punt 2 van de preambule van de overeenkomst, naar de wet‑ en regelgeving van de Verenigde Staten die is aangenomen naar aanleiding van de terroristische aanslagen van 11 september 2001 en waarin van iedere luchtvaartmaatschappij die internationale passagiersvluchten vanuit of naar de Verenigde Staten uitvoert, wordt geëist dat zij elektronisch toegang verschaft tot de in haar geautomatiseerde boekings‑ en vertrekcontrolesysteem verzamelde en opgeslagen PNR-gegevens.

131. Het doel van eerbiediging van de fundamentele rechten en inzonderheid van het recht op eerbiediging van het privéleven, blijkt uit de verwijzing naar richtlijn 95/46. Aldus dient aan vervoerde natuurlijke personen de bescherming van hun persoonsgegevens te worden gewaarborgd.

132. Deze waarborg wordt nagestreefd zowel in het kader van de door het CBP op 11 mei 2004 aangegane verbintenissen, die volgens punt 4 van de preambule van de overeenkomst zullen worden bekendgemaakt in het Federal Register , als in het kader van de gelijkwaardigheidsbeschikking, die in punt 5 van de genoemde preambule wordt genoemd.

133. Volgens punt 1 van de preambule van de overeenkomst moeten deze twee doelstellingen gelijktijdig worden nagestreefd. De tussen de Gemeenschap en de Verenigde Staten gesloten overeenkomst streeft er derhalve naar deze twee doelstellingen met elkaar in overeenstemming te brengen, dat wil zeggen zij berust op de gedachte dat de bestrijding van terrorisme en andere ernstige misdrijven moet plaatsvinden onder eerbiediging van de fundamentele rechten, inzonderheid het recht op eerbiediging van het privéleven en meer in het bijzonder het recht op de bescherming van persoonsgegevens.

134. De inhoud van de overeenkomst bevestigt deze analyse. Punt 1 ervan bepaalt immers dat het CBP elektronisch toegang krijgt tot de PNR-gegevens in de boekings‑ en vertrekcontrolesystemen van de luchtvaartmaatschappijen die zich op het grondgebied van de lidstaten bevinden, zulks „strikt overeenkomstig” de gelijkwaardigheidsbeschikking „en zolang deze laatste van kracht is”. Ik leid hieruit af dat de toegang tot de PNR-gegevens van vliegtuigpassagiers als een middel ter bestrijding van terrorisme en andere ernstige misdrijven slechts op grond van de overeenkomst is toegestaan voorzover wordt vastgesteld dat voor deze gegevens in de Verenigde Staten een passend beschermingsniveau bestaat. De inhoud van deze bepaling van de overeenkomst weerspiegelt aldus het gelijktijdig nastreven van enerzijds de doelstelling van bestrijding van terrorisme en andere ernstige misdrijven en anderzijds de doelstelling van bescherming van persoonsgegevens.

135. Dezelfde constatering dringt zich op bij het onderzoek van punt 2 van de overeenkomst, dat de luchtvaartmaatschappijen die internationale passagiersvluchten vanuit of naar de Verenigde Staten uitvoeren, ertoe verplicht de in hun boekingssystemen opgeslagen PNR-gegevens te verwerken „volgens de vereisten van het CBP krachtens de wetgeving van de Verenigde Staten, zulks strikt overeenkomstig de [gelijkwaardigheids]beschikking en zolang deze laatste van kracht is”. Ook in dit opzicht houdt de verplichting die voortaan op de luchtvaartmaatschappijen rust met het doel terrorisme en andere ernstige misdrijven te bestrijden, nauw verband met een gepaste bescherming van de persoonsgegevens van vliegtuigpassagiers.

136. Andere bepalingen van de overeenkomst dienen ertoe de doelstellingen van bestrijding van terrorisme en andere ernstige misdrijven enerzijds en bescherming van de persoonsgegevens van vliegtuigpassagiers anderzijds uit te voeren.

137. Zo wordt specifiek met betrekking tot de doelstelling van bescherming van persoonsgegevens in punt 3 van de overeenkomst bepaald dat „[h]et CBP [...] kennis[neemt] van de [gelijkwaardigheids]beschikking en verklaart dat het de daaraan gehechte verbintenissen uitvoert”.

138. Voorts overweegt punt 6 van de overeenkomst de mogelijkheid dat de Europese Unie op haar beurt een identificatieregeling van vliegtuigpassagiers invoert, in het kader waarvan zij de luchtvaartmaatschappijen ertoe zou verplichten aan de bevoegde autoriteiten toegang te verlenen tot de PNR-gegevens van passagiers wier reis een vlucht naar of vanuit de Europese Unie omvat. Voor het geval de Europese Unie een dergelijke maatregel zou treffen, bepaalt de overeenkomst dat het Department of Homeland Security „zoveel mogelijk en met strikte inachtneming van het wederkerigheidsbeginsel de onder haar bevoegdheid vallende luchtvaartmaatschappijen tot samenwerking aanmoedigt”. Het betreft hier een bepaling die wederom de doelstelling van bestrijding van terrorisme en andere ernstige misdrijven tot uiting brengt.

139. Als reactie op bepaalde argumenten van de Commissie wijs ik er in dit verband dan ook op, dat volgens mij moeilijk kan worden volgehouden dat het doel van bestrijding van terrorisme en andere ernstige misdrijven uitsluitend en eenzijdig wordt nagestreefd door de Verenigde Staten, terwijl de Gemeenschap zich uitsluitend tot doel stelt de persoonsgegevens van vliegtuigpassagiers te beschermen.(66) Ik ben van mening dat de overeenkomst vanuit het gezichtspunt van elke contracterende partij in werkelijkheid en tegelijkertijd tot doel en inhoud heeft, de doelstelling van bestrijding van terrorisme en andere ernstige misdrijven te verzoenen met die van bescherming van de persoonsgegevens van vliegtuigpassagiers. Aldus roept de overeenkomst een samenwerking tussen de contracterende partijen in het leven die bedoeld is om deze tweeledige doelstelling gelijktijdig te verwezenlijken.

140. Gelet op het doel en de inhoud van de overeenkomst, zoals hier beschreven, ben ik van mening dat artikel 95 EG geen passende rechtsgrondslag vormt voor het besluit van de Raad.

141. In dit verband zij eraan herinnerd dat artikel 95, lid 1, EG beoogt door de Raad maatregelen te doen vaststellen inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten betreffende de instelling en de werking van de interne markt.

142. De bij dit verdragsartikel aan de Gemeenschap toegekende bevoegdheid is van horizontale aard, dat wil zeggen dat zij niet tot een bepaald gebied is beperkt. De draagwijdte van de communautaire bevoegdheid wordt derhalve vastgesteld „op basis van een functioneel criterium, dat zich horizontaal uitstrekt tot alle maatregelen die de instelling van de ‚interne markt’ tot doel hebben”.(67)

143. Voorts blijkt uit de rechtspraak van het Hof dat de in artikel 95, lid 1, EG bedoelde maatregelen de voorwaarden voor de instelling en de werking van de interne markt dienen te verbeteren en daadwerkelijk deze doelstelling moeten hebben, door ertoe bij te dragen dat de belemmeringen van het vrije verkeer van goederen en van de vrijheid van dienstverrichting worden weggenomen en de mededingingsverstoringen worden opgeheven.(68) Eveneens volgt uit deze rechtspraak dat artikel 95 EG alleen als rechtsgrondslag mag worden gehanteerd om toekomstige belemmeringen van het handelsverkeer die het gevolg zouden zijn van een heterogene ontwikkeling van de nationale wetgevingen, te voorkomen, indien het ontstaan van die belemmeringen waarschijnlijk is en de betrokken maatregel ertoe strekt die belemmeringen te voorkomen.(69)

144. Zoals ik al heb uiteengezet, voert de Raad aan dat zijn besluit op geldige wijze is vastgesteld op de grondslag van artikel 95 EG, aangezien de overeenkomst met de Verenigde Staten, door de opheffing van elke concurrentievervalsing tussen de luchtvaartmaatschappijen van de lidstaten en tussen deze en de maatschappijen van derde landen, heeft bijgedragen tot het voorkomen van een ernstige inbreuk op de eenheid van de interne markt.

145. Weliswaar verwijst de tweede overweging van het besluit van de Raad naar „de dringende noodzaak een eind te maken aan de onzekerheid waarin luchtvaartmaatschappijen en passagiers verkeren, en […] de financiële belangen van de betrokkenen te beschermen”, maar deze zinsnede zou aldus kunnen worden verstaan dat zij zinspeelt op de sancties die door de bevoegde Amerikaanse autoriteiten kunnen worden opgelegd aan de luchtvaartmaatschappijen die de toegang tot de PNR-gegevens van hun passagiers zouden weigeren, welke sancties financiële consequenties voor die luchtvaartmaatschappijen zouden kunnen hebben. Men zou zich kunnen voorstellen dat in een dergelijk geval deze sancties, die nadelige financiële consequenties voor bepaalde maatschappijen hebben, de oorzaak kunnen zijn van concurrentievervalsingen tussen alle op het grondgebied van de lidstaten gevestigde luchtvaartmaatschappijen.

146. Ik kan mij trouwens eveneens voorstellen dat een verschillende houding van de lidstaten – hierin bestaande dat sommige op straffe van sancties aan de op hun grondgebied gevestigde luchtvaartmaatschappijen de doorgifte van PNR-gegevens van hun passagiers verbieden, terwijl andere lidstaten dit niet doen – gevolgen, zij het indirect, voor de werking van de interne markt zou kunnen hebben wegens de eventuele mededingingsverstoringen die tussen de luchtvaartmaatschappijen zouden kunnen ontstaan.

147. Geconstateerd moet echter worden dat een dergelijke doelstelling, bestaande in het voorkomen van mededingingsverstoringen, voorzover inderdaad door de Raad nagestreefd, van bijkomende aard is in verhouding tot de twee voornaamste doelstellingen, te weten de bestrijding van terrorisme en andere ernstige misdrijven en de bescherming van de persoonsgegevens van passagiers die, zoals we hebben gezien, in de bepalingen van de overeenkomst uitdrukkelijk genoemd en metterdaad uitgevoerd zijn.

148. De doelstelling bestaande in het voorkomen van mededingingsvervalsingen, ongeacht of dit tussen de luchtvaartmaatschappijen van de lidstaten of tussen deze en de luchtvaartmaatschappijen van derde landen is, zoals de Raad aanvoert, komt op haar beurt nergens met zoveel woorden in de bepalingen van de overeenkomst voor. Zij is van impliciete aard en derhalve noodzakelijkerwijs van ondergeschikte aard in verhouding tot de beide andere doelstellingen.

149. Ik herinner eraan dat, zoals het Hof al heeft beslist, „[...] het enkele feit dat een handeling van invloed kan zijn op de totstandbrenging en de werking van de interne markt, niet [volstaat] om het gebruik van dit artikel als rechtsgrondslag voor deze handeling te rechtvaardigen”.(70)

150. Met name volgt uit vaste rechtspraak van het Hof dat, indien uit het onderzoek van een gemeenschapshandeling blijkt dat zij meer dan één doel heeft of dat er sprake is van verschillende componenten, en indien één daarvan als hoofdelement of overwegende component kan worden aangewezen, terwijl de andere slechts een ondergeschikt element is, de handeling op één enkele rechtsgrondslag moet worden gebaseerd, namelijk die welke het hoofddoel, het hoofdelement of de overwegende component verlangt.(71) Alleen bij wijze van uitzondering, indien wordt aangetoond dat de handeling tegelijkertijd verschillende doeleinden heeft die onlosmakelijk met elkaar verbonden zijn, zonder dat de ene secundair en indirect is ten opzichte van de andere, moet een dergelijke handeling op de verschillende desbetreffende rechtsgrondslagen worden gebaseerd.(72) Dit is volgens mij in casu niet het geval.

151. Ik wil er nog op wijzen dat zelfs wanneer de drie doelstellingen geacht moeten worden op onlosmakelijke wijze door de overeenkomst te worden nagestreefd, dit niet wegneemt dat de keuze van de Raad om zijn besluit uitsluitend te baseren op de rechtsgrondslag van artikel 95 EG krachtens deze rechtspraak als onjuist moet worden beschouwd.

152. In werkelijkheid blijkt bij volledige lezing van de tweede overweging van het besluit van de Raad, dat de „dringende noodzaak” waarvan de Raad gewag maakt, tot voornaamste doel heeft te verklaren waarom aan het Parlement een termijn is gesteld om zijn advies te geven overeenkomstig artikel 300, lid 3, eerste alinea, EG, dat bepaalt dat in het kader van de procedure betreffende het sluiten van akkoorden „[h]et Europees Parlement [...] advies uit[brengt] binnen de termijn die de Raad naar gelang van de urgentie kan vaststellen”. Eveneens bepaalt dit artikel dat „[i]ndien er binnen die termijn geen advies is uitgebracht, [...] de Raad een besluit [kan] nemen”. Dit is gebeurd in de procedure die is gevoerd met het oog op de vaststelling van het besluit van de Raad.

153. Anders gezegd, ofschoon „de dringende noodzaak een eind te maken aan de onzekerheid waarin luchtvaartmaatschappijen en passagiers verkeerden, en […] de financiële belangen van de betrokkenen te beschermen” inderdaad een rol heeft kunnen spelen in de procedure ter vaststelling van een regeling voor PNR-gegevens, komt het mij voor dat dit zwaarder is meegewogen in het kader van de gevoerde procedure dan in het kader van de omschrijving van doel en inhoud van de overeenkomst.

154. Aangaande het argument van de Raad en de Commissie dat een handeling betreffende de externe dimensie van de bescherming van persoonsgegevens moet worden gebaseerd op dezelfde rechtsgrondslag als die van de interne maatregel zijnde richtlijn 95/46, dient erop te worden gewezen dat het Hof al heeft beslist dat het feit dat een specifieke verdragsbepaling als rechtsgrondslag is gekozen voor de vaststelling van interne handelingen niet volstaat als bewijs dat voor de goedkeuring van een internationale overeenkomst met een soortgelijk voorwerp dezelfde rechtsgrondslag moet worden gekozen.(73) Bovendien heb ik aangetoond dat noch het voornaamste doel noch de inhoud van de overeenkomst de verbetering van de voorwaarden voor de werking van de interne markt betreft, terwijl richtlijn 95/46, die is vastgesteld op grond van artikel 95 EG, „beoogt het vrije verkeer van persoonsgegevens tussen lidstaten te bevorderen dankzij een harmonisatie van de nationale voorschriften inzake de bescherming van natuurlijke personen op het gebied van de verwerking van dergelijke gegevens”.(74)

155. Gelet op bovenstaande elementen, ben ik van mening dat het onderzoek naar doel en inhoud van de overeenkomst aantoont dat artikel 95 EG niet de passende rechtsgrondslag voor het besluit van de Raad is.

156. Bijgevolg geef ik het Hof in overweging het eerste middel van het Parlement gegrond te verklaren. Hieruit volgt dat het besluit van de Raad wegens onjuiste keuze van de rechtsgrondslag moet worden nietig verklaard.

157. Het zou zeker interessant zijn op deze plaats de vraag te stellen welke rechtsgrondslag voor een dergelijk besluit passend zou zijn. Er zij evenwel op gewezen dat het Hof in het kader van de onderhavige zaak deze delicate vraag niet behoeft te beantwoorden. Ik zal mij daarom beperken tot enkele opmerkingen over dit vraagstuk en meer algemeen over de aard van de PNR-regeling, zoals deze na onderhandelingen met de Verenigde Staten tot stand is gekomen.

158. Om te beginnen, en anders dan de Raad heeft verdedigd, toont de omstandigheid dat de PNR-regeling niet is vastgesteld in het kader van de bepalingen van het EU-Verdrag, mijns inziens niet de rechtsgeldigheid aan van de door de Raad en de Commissie gekozen benadering.

159. Vervolgens ben ik, meer in het algemeen, van mening dat een handeling die voorziet in de raadpleging en het gebruik van persoonsgegevens door een entiteit die de binnenlandse veiligheid van een staat moet verzekeren, alsmede de terbeschikkingstelling van deze gegevens aan een dergelijke entiteit, als een samenwerkingshandeling tussen overheidsinstanties kan worden beschouwd.(75)

160. Bovendien komt het mij voor dat het feit dat een rechtspersoon wordt verplicht een dergelijke verwerking van gegevens uit te voeren en deze door te geven niet fundamenteel verschilt van een rechtstreekse uitwisseling van gegevens tussen overheidsinstanties.(76) Het gaat om de verplichte mededeling van gegevens ten behoeve van veiligheids‑ en strafvervolgingsdoeleinden, niet om de specifieke wijze waarop dit in een bepaalde situatie dient te geschieden. De onderhavige zaak betreft in feite een nieuwe problematiek, verband houdend met het gebruik van commerciële gegevens ten behoeve van strafvervolgingsdoeleinden.(77)

161. Ten slotte zij erop gewezen dat het Gerecht van eerste aanleg heeft beslist dat „de strijd tegen het internationale terrorisme [...] niet in verband [kan] worden gebracht met één van de door de artikelen 2 EG en 3 EG aan de Gemeenschap uitdrukkelijk toegewezen doelstellingen.(78)

162. Aangezien ik het Hof naar aanleiding van mijn onderzoek van het eerste middel in overweging geef, het besluit van de Raad nietig te verklaren wegens de onjuiste keuze van de rechtsgrondslag daarvan, zal ik slechts subsidiair de andere door het Parlement ter ondersteuning van het onderhavige beroep aangevoerde middelen bespreken.

B – Het middel gebaseerd op schending van artikel 300, lid 3, tweede alinea, EG, wegens wijziging van richtlijn 95/46

1. Argumenten van partijen

163. Met dit tweede middel voert het Parlement aan dat de overeenkomst tussen de Gemeenschap en de Verenigde Staten alleen namens de Gemeenschap had kunnen worden goedgekeurd wanneer de procedure, bedoeld in artikel 300, lid 3, tweede alinea, EG was gevolgd. Dit artikel bepaalt namelijk dat „akkoorden die een wijziging behelzen van een volgens de procedure van artikel 251 aangenomen besluit [worden] gesloten nadat het Europees Parlement zijn instemming heeft gegeven”. Volgens deze instelling behelst de onderhavige overeenkomst een wijziging van richtlijn 95/46, die volgens de procedure van artikel 251 EG is vastgesteld.

164. Naar de mening van het Parlement voldoen de verbintenissen tot uitvoering waarvan de Amerikaanse autoriteiten zich hebben verplicht, niet aan de bij richtlijn 95/46 opgelegde voorwaarden voor de verwerking van gegevens. Op grond hiervan heeft de overeenkomst tot gevolg dat van sommige wezenlijke beginselen van deze richtlijn wordt afgeweken en dat gegevensverwerkingen die in deze richtlijn niet zijn toegestaan, worden gelegitimeerd. Aldus brengt de overeenkomst wijziging in richtlijn 95/46. Het Parlement noemt met name de volgende wijzigingen.

165. In de eerste plaats beoogt de overeenkomst het voorkomen en de bestrijding van terrorisme en andere ernstige misdrijven, terwijl artikel 3, lid 2, eerste streepje, van richtlijn 95/46 van de werkingssfeer van de richtlijn uitsluit de doorgifte van gegevens naar overheidsinstanties van een derde land om redenen in verband met de openbare veiligheid van dat land. Het Parlement wijst erop dat de lidstaten met het oog hierop in de Europol-overeenkomst specifieke bepalingen hebben opgenomen; op grond daarvan mag worden aangenomen dat de twee instrumenten op dit gebied elkaar aanvullen, ofschoon zij op verschillende rechtsgrondslagen zijn gebaseerd.

166. In de tweede plaats vormt de aan de bevoegde Amerikaanse autoriteiten verleende mogelijkheid om rechtstreeks toegang te hebben tot persoonsgegevens binnen het gebied van de Gemeenschap (het „pull”-systeem) eveneens een wijziging van richtlijn 95/46. De artikelen 25 en 26 daarvan bevatten immers geen enkele bepaling op grond waarvan een derde land recht op rechtstreekse toegang tot die gegevens heeft.

167. In de derde plaats staat de overeenkomst, door te verwijzen naar de verbintenissen, het CBP toe om naar eigen inzicht en van geval tot geval de PNR-gegevens door te geven aan andere dan Amerikaanse overheidsinstanties die zich met strafvervolging of terrorismebestrijding bezighouden. Deze discretionaire bevoegdheid van de Amerikaanse autoriteiten is in strijd met richtlijn 95/46, en inzonderheid met artikel 25, lid 1, daarvan, volgens welke bepaling „persoonsgegevens [...] slechts naar een derde land mogen worden doorgegeven indien [...] dat land een passend beschermingsniveau waarborgt”. Het Parlement is namelijk van mening dat het in deze richtlijn uitgewerkte beschermingssysteem elke betekenis zou verliezen, indien het derde land waarvoor een positieve gelijkwaardigheidsbeschikking geldt, vervolgens het recht had de persoonsgegevens aan andere landen door te geven die door de Gemeenschap in het geheel niet zijn beoordeeld.

168. In de vierde plaats behelst de overeenkomst een wijziging van richtlijn 95/46 voorzover het CBP, zelfs wanneer het besluit „gevoelige” persoonsgegevens niet te gebruiken, het recht zou hebben deze gegevens te verzamelen, hetgeen op zich reeds een verwerking in de zin van artikel 2, sub b, van deze richtlijn vormt.

169. In de vijfde plaats meent het Parlement dat de overeenkomst deze richtlijn wijzigt, omdat zij de in artikel 22 van richtlijn 95/46 bedoelde mogelijkheid zich tot de rechter te wenden in geval van schending van de rechten die aan iedereen worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht, niet voldoende waarborgt. Inzonderheid beschikt een bij de doorgifte van zijn PNR-gegevens betrokken persoon niet over de mogelijkheid zich tot de rechter te wenden wanneer, bijvoorbeeld, hem betreffende gegevens onjuist zijn, gevoelige gegevens worden gebruikt of gegevens aan een andere instantie worden doorgegeven.

170. In de zesde en laatste plaats beklemtoont het Parlement de buitensporig lange duur van de bewaring van aan het CBP overgedragen PNR-gegevens, hetgeen een wijziging van richtlijn 95/46 vormt en inzonderheid van artikel 6, lid 1, sub e, daarvan, waarin een bewaringsduur van de gegevens is voorzien die „niet langer [is] […] dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is”.

171. De ETGB ondersteunt de conclusies van het Parlement in die zin dat de overeenkomst volgens deze organisatie van invloed is op richtlijn 95/46. De overeenkomst had slechts mogen worden gesloten onder het democratische toezicht van het Parlement, aangezien zij het harmonisatieniveau van de nationale wetgevingen zoals in deze richtlijn is voorzien en zelfs de eerbiediging van de fundamentele rechten beïnvloedt. Volgens de ETGB is de aantasting van het in deze richtlijn voorziene beschermingsniveau van de persoonsgegevens met name het gevolg van het feit dat zowel in het „pull”- als het „push”-systeem de luchtvaartmaatschappijen verplicht zijn te handelen in strijd met de richtlijn, en met name met artikel 6, lid 1, sub b en c, daarvan. Voorzover deze inbreuk op het beschermingsniveau van de gegevens een wijziging van richtlijn 95/46 impliceert, meent de ETGB dat de procedurele waarborgen van artikel 300, lid 3, tweede alinea, EG niet in acht zijn genomen. Bovendien zijn de „materiële garanties” evenmin in acht genomen, met name omdat de verbintenissen van het CBP niet bindend zijn.

172. Daarentegen is de Raad, daarin bijgestaan door de Commissie, van mening dat de overeenkomst geen wijziging van richtlijn 95/46 bevat. Ter onderbouwing hiervan haalt hij punt 8 van deze overeenkomst aan, volgens de bewoordingen waarvan deze overeenkomst „niet ten doel [heeft] van de wetgeving van de partijen af te wijken of deze wetgeving te wijzigen”. Hij betoogt eveneens dat deze richtlijn aan de Commissie een ruime discretionaire bevoegdheid verleent om de passende aard van de door een derde land geboden bescherming te beoordelen. In dit verband vormt volgens de Raad de vraag of de Commissie de grenzen van haar beoordelingsmarge heeft overschreden veeleer het onderwerp van het beroep tot nietigverklaring van de gelijkwaardigheidsbeschikking in zaak C‑318/04.

173. De Raad herinnert er eveneens aan, dat naar zijn mening de redenen (veiligheid, bestrijding van terrorisme of andere redenen) waarom het CBP de doorgifte van PNR-gegevens heeft verlangd, vanuit het standpunt van de Gemeenschap noch het voorwerp noch de inhoud van de overeenkomst vormen. Bovendien staat richtlijn 95/46 binnen de werkingssfeer van de interne markt toe dat persoonsgegevens voor legitieme doeleinden, zoals de bescherming van de veiligheid van een staat, kunnen worden gebruikt.

174. Hoe dan ook, zelfs wanneer moet worden aangenomen dat de Gemeenschap niet bevoegd was de overeenkomst te sluiten, volgt daaruit nog niet dat het Parlement op grond van het feit dat de overeenkomst richtlijn 95/46 wijzigt, zijn instemming had moeten geven. De Raad preciseert dat de instemming van het Parlement namelijk in geen geval tot gevolg kan hebben dat de bevoegdheden van de Gemeenschap worden uitgebreid.

175. Ten aanzien van de mogelijkheid voor het CBP om zich rechtstreeks toegang tot de PNR-gegevens te verschaffen (het thans van toepassing zijnde „pull”-systeem, in afwachting van de invoering van een „push”-systeem), erkent de Raad dat richtlijn 95/46 een dergelijke mogelijkheid weliswaar niet met zoveel woorden vermeldt, doch dat zij dit evenmin verbiedt. Vanuit het gezichtspunt van de Gemeenschap zijn het de voorwaarden voor de toegang tot de gegevens die van belang zijn.

176. De Commissie voegt aan deze argumenten toe, dat voor welk doel de persoonsgegevens ook door het CBP worden gebruikt, het nochtans een feit blijft dat dit voor de luchtvaartmaatschappijen in de Gemeenschap commerciële gegevens zijn en blijven, die binnen de werkingssfeer van richtlijn 95/46 vallen en bijgevolg in overeenstemming met deze richtlijn moeten worden beschermd en verwerkt.

2. Beoordeling

177. Bij het door de Gemeenschap sluiten van internationale overeenkomsten is de raadpleging van het Parlement de normaal gevolgde procedure, behoudens wanneer de overeenkomsten betrekking hebben op het gebied van het gemeenschappelijk handelsbeleid. Deze raadpleging van het Parlement geschiedt krachtens artikel 300, lid 3, eerste alinea, EG, ook wanneer het akkoord een gebied betreft waarin voor de vaststelling van interne voorschriften de medebeslissingsprocedure van artikel 251 EG is voorgeschreven.

178. In afwijking van deze algemeen toepasselijke procedure, schrijft artikel 300, lid 3, tweede alinea, EG in vier gevallen de instemming van het Parlement voor, waaronder het geval, voorzover hier van belang, dat het akkoord „een wijziging [behelst] van een volgens de procedure van artikel 251 aangenomen besluit”. De bedoeling hiervan is, aan het Parlement als medewetgever te verzekeren dat het een eventuele wijziging van een door hem vastgestelde handeling door een internationale overeenkomst kan controleren.

179. Richtlijn 95/46 is vastgesteld volgens de medebeslissingsprocedure. Het Parlement stelt derhalve dat, aangezien de overeenkomst een wijziging van deze richtlijn bevat, het besluit van de Raad waarin deze overeenkomst namens de Gemeenschap werd goedgekeurd, zijn instemming behoefde teneinde overeenkomstig de verdragsregels te kunnen worden aangenomen.

180. Ter beoordeling van de gegrondheid van dit middel, preciseer ik in de eerste plaats dat het in mijn ogen van weinig belang is dat de overeenkomst volgens de bewoordingen van punt 8 preciseert dat zij „niet ten doel [heeft] van de wetgeving van de partijen af te wijken of deze wetgeving te wijzigen”. Hetgeen immers van belang is om artikel 300, lid 3, tweede alinea, EG van toepassing te doen zijn, is of de internationale overeenkomst een wijziging van de interne communautaire handeling impliceert , dat wil zeggen of zij tot gevolg heeft dat die handeling wordt gewijzigd en wel ongeacht of dit al dan niet haar doel is.

181. Het lijkt erop dat het Hof zich nog niet heeft uitgesproken over de betekenis die aan deze nogal vage uitdrukking „wijziging van een volgens de procedure van artikel 251 aangenomen besluit” moet worden gegeven.(79) Sommige auteurs hebben zich in dit verband afgevraagd of het woord „wijziging” „een wijziging in strijd met de tekst” van de interne handeling betekent, dan wel of „elke wijziging, zelfs een wijziging die strookt met de tekst” van de interne handeling volstaat om de instemmingsprocedure voor te schrijven.(80)

182. De in artikel 300, lid 3, tweede alinea, EG gebruikte uitdrukking leidt eveneens tot de vraag of de instemming alleen vereist is wanneer de werkingssfeer van de voorgenomen overeenkomst, althans gedeeltelijk, die van de vastgestelde interne handeling dekt, of dat alleen al het feit dat een interne handeling tot stand is gekomen op de voor de sluiting van de genoemde overeenkomst gehanteerde rechtsgrondslag volstaat.(81)

183. In het algemeen ben ik van mening dat, wil er sprake zijn van een „wijziging” door een internationale overeenkomst van een volgens de procedure van de medebeslissing aangenomen interne communautaire handeling, één van de voorwaarden is dat de werkingssfeer van de overeenkomst gedeeltelijk samenvalt met die van deze interne handeling. In dat geval kan namelijk sprake zijn van een wijziging van de interne handeling door de internationale overeenkomst, hetzij omdat de overeenkomst een bepaling bevat die in tegenspraak is met één van de bepalingen van de interne handeling, hetzij omdat de overeenkomst de interne handeling inhoudelijk aanvult, ook wanneer dit niet rechtstreeks in strijd met de overeenkomst is.

184. In de onderhavige zaak ben ik het standpunt toegedaan dat de overeenkomst de inhoud van richtlijn 95/46 niet kon wijzigen.

185. Dit standpunt is in de eerste plaats gebaseerd op het feit dat, zoals blijkt uit mijn onderzoek van het eerste middel, de overeenkomst tot voornaamste doel heeft de bestrijding van terrorisme en andere ernstige misdrijven, waarbij zij tegelijkertijd de persoonsgegevens van vliegtuigpassagiers moet beschermen. Daarentegen beoogt richtlijn 95/46 het vrije verkeer tussen de lidstaten van persoonsgegevens te verzekeren door de harmonisatie van de nationale bepalingen die natuurlijke personen beschermen bij de verwerking van deze gegevens. De twee handelingen hebben derhalve twee duidelijk verschillende doelstellingen, ofschoon zij beide betrekking hebben op het gebied van de bescherming van persoonsgegevens.(82)

186. In de tweede plaats hebben de overeenkomst en richtlijn 95/46 verschillende werkingssferen, hetgeen strookt met de constatering dat hun doeleinden verschillen. Terwijl namelijk de overeenkomst van toepassing is op de verwerking van persoonsgegevens die worden gebruikt voor het uitvoeren van activiteiten op het gebied van de binnenlandse veiligheid van de Verenigde Staten en tegelijkertijd en meer in het bijzonder activiteiten betreffende de bestrijding van terrorisme en andere ernstige misdrijven, herinner ik eraan dat artikel 3, lid 2, eerste streepje, van de genoemde richtlijn met zoveel woorden van haar werkingssfeer uitsluit de verwerking van persoonsgegevens „die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid , defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied ”.(83)

187. Gelet op het feit dat in casu de twee handelingen verschillende doelstellingen en werkingssferen hebben, zie ik niet in hoe de inhoud van de één die van de andere kan wijzigen. In feite heeft de overeenkomst betrekking op verwerkingen van persoonsgegevens die de communautaire wetgever duidelijk heeft uitgesloten van het beschermingsstelsel van richtlijn 95/46. Deze benadering van de communautaire wetgever is bovendien in overeenstemming met de keuze van de rechtsgrondslag van deze richtlijn, dat wil zeggen artikel 95 EG.

188. Aan deze analyse kan mijns inziens geen afbreuk worden gedaan door het argument van de Commissie dat de persoonsgegevens, voor welk doel zij ook door het CBP worden gebruikt, voor de luchtvaartmaatschappijen in de Gemeenschap commerciële gegevens zijn en blijven, die binnen de werkingssfeer van richtlijn 95/46 vallen en overeenkomstig deze richtlijn moeten worden beschermd en verwerkt.

189. Ik herinner er in dit verband aan dat, ofschoon het juist is dat de verwerking bestaande in het verzamelen en vastleggen van de gegevens van vliegtuigpassagiers door luchtvaartmaatschappijen in het algemeen een commerciële doelstelling heeft, aangezien zij rechtstreeks verband houdt met het verloop van de door de luchtvaartmaatschappij uit te voeren vlucht, de verwerking van de onder de overeenkomst vallende gegevens van geheel andere aard is, aangezien deze enerzijds betrekking heeft op een fase na de verzameling van de gegevens en anderzijds een veiligheidsdoel nastreeft.

190. Op grond van deze overwegingen ben ik van mening dat het tweede middel van het Parlement niet gegrond is en derhalve moet worden afgewezen.

191. Om dezelfde redenen als die genoemd in het kader van mijn onderzoek in zaak C‑318/04(84), zal ik thans overgaan tot het gezamenlijke onderzoek van het derde en het vierde middel van het Parlement, te weten schending van het recht op bescherming van persoonsgegevens en schending van het evenredigheidsbeginsel.

192. Ik herinner er eveneens aan dat, gezien de onderlinge samenhang tussen de overeenkomst zoals goedgekeurd bij het besluit van de Raad, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP die aan deze beschikking van de Commissie zijn gehecht, mijns inziens de volledige PNR-regeling in het licht van deze middelen moet worden onderzocht.(85)

C – De middelen gebaseerd op schending van het recht op bescherming van persoonsgegevens en schending van het evenredigheidsbeginsel

1. Argumenten van partijen

193. Het Parlement stelt dat het recht op bescherming van persoonsgegevens, zoals dit met name is erkend bij artikel 8 EVRM, door de PNR-regeling wordt geschonden.

194. Door te bepalen dat het CBP elektronisch toegang heeft tot de PNR-gegevens uit de boekingssystemen van de op het grondgebied van de lidstaten gevestigde luchtvaartmaatschappijen en dat de luchtvaartmaatschappijen, wanneer zij internationale passagiersvluchten uitvoeren naar of vanuit de Verenigde Staten, de onderhavige PNR-gegevens zullen verwerken zoals door het CBP op grond van de Amerikaanse wetgeving verzocht – heeft de overeenkomst betrekking op een verwerking van persoonsgegevens die neerkomt op een inmenging in het privéleven in de zin van artikel 8 EVRM. De gelijkwaardigheidsbeschikking eerbiedigt dit artikel evenmin.

195. Het Parlement preciseert dat een dergelijke inmenging, om artikel 8 EVRM niet te schenden, bij wet moet zijn voorzien, een legitiem doel moet nastreven en in een democratische maatschappij noodzakelijk moet zijn om dit doel te bereiken. Het is van mening dat de overeenkomst en de gelijkwaardigheidsbeschikking niet aan deze voorwaarden voldoen.

196. Aangaande in de eerste plaats de voorwaarde dat de inmenging in de wet moet zijn voorzien, stelt het Parlement dat zowel de overeenkomst als de gelijkwaardigheidsbeschikking niet voldoen aan de eisen van toegankelijkheid en voorzienbaarheid van de wet, als vereist in de rechtspraak van het Europees Hof voor de rechten van de mens. Enerzijds is het Parlement, wat het vereiste van toegankelijkheid van de wet betreft, van mening dat de overeenkomst en de gelijkwaardigheidsbeschikking, door op algemene en onnauwkeurige manier te verwijzen naar de van toepassing zijnde Amerikaanse wetgeving, niet zelf de rechten en verplichtingen bevatten waaraan de passagiers en de Europese luchtvaartmaatschappijen moeten voldoen. Het rechtszekerheidsvereiste verlangt echter dat een gemeenschapshandeling die juridische verplichtingen schept, de belanghebbenden in staat stelt exact de omvang van de verplichtingen die zij hun oplegt, te kennen.(86) Bovendien staan de toepasselijke Amerikaanse wetten, in strijd met het vereiste van toegankelijkheid van de wet, niet in alle officiële talen van de Gemeenschap ter beschikking. Het Parlement verwijst eveneens naar de foutieve verwijzing en vaststellingsdatum van de gelijkwaardigheidsbeschikking in de preambule van de overeenkomst. Anderzijds is niet voldaan aan het vereiste van de voorzienbaarheid van de wet, omdat de overeenkomst en de gelijkwaardigheidsbeschikking de rechten en verplichtingen van de luchtvaartmaatschappijen en de burgers die in de Gemeenschap zijn gevestigd respectievelijk woonachtig zijn, onvoldoende duidelijk preciseren. Bovendien ontvangen de passagiers slechts algemene informatie, hetgeen in strijd is met de informatieplicht zoals voorzien in de artikelen 10 en 11 van richtlijn 95/46 en artikel 8, sub a, van overeenkomst nr. 108. Ten slotte bevatten de overeenkomst en de verbintenissen van het CBP een reeks van onnauwkeurigheden die onverenigbaar zijn met artikel 8 EVRM.

197. Aangaande in de tweede plaats de voorwaarde dat krachtens artikel 8, lid 2, EVRM de inmenging in het recht op respect voor het privéleven een legitiem doel moet nastreven, erkent het Parlement dat daaraan is voldaan. Het herinnert in dit verband aan de steun die het herhaaldelijk aan de Raad heeft toegezegd bij de bestrijding van het terrorisme.

198. Aangaande in de derde plaats de voorwaarde dat de inmenging een maatregel moet vormen die in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid, het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen, meent het Parlement dat daaraan om de volgende redenen niet is voldaan:

– uit punt 3 van de verbintenissen van het CBP volgt dat de gegevensverwerking niet is beperkt tot de bestrijding van het terrorisme, maar eveneens strekt ter voorkoming en bestrijding van andere ernstige misdrijven, waaronder de georganiseerde misdaad, en het ontvluchten van aanhoudingsbevelen of de arrestatie voor de bovengenoemde misdrijven. Voorzover de gegevensverwerking verder gaat dan de bestrijding van het terrorisme, is zij niet nodig voor de verwezenlijking van het nagestreefde legitieme doel;

– de overeenkomst voorziet in de doorgifte van een buitensporig aantal gegevens (34), waardoor zij het evenredigheidsbeginsel miskent. Vanuit het oogpunt van de inachtneming van een passend beschermingsniveau van de persoonsgegevens lijken 19 van die 34 gegevens aanvaardbaar. Het Parlement meent dat sprake is van een „aanzienlijke discrepantie” tussen het aantal gegevens dat is voorzien in vergelijkbare juridische instrumenten die van toepassing zijn in de Europese Unie, en het aantal dat krachtens de overeenkomst is vereist.(87) Bovendien kunnen sommige rubrieken van de verzochte PNR-gegevens gevoelige gegevens inhouden;

– de gegevens worden in verhouding tot het nagestreefde doel te lang opgeslagen door de Amerikaanse autoriteiten. Uit de verbintenissen van het CBP volgt namelijk dat in aansluiting op de on-linetoegang tot de gegevens voor geautoriseerde CBP-gebruikers voor een periode van zeven dagen, alle gegevens gedurende een periode van drieënhalf jaar worden bewaard, waarna de gegevens die handmatig zijn geraadpleegd tijdens deze periode door het CBP worden overgedragen naar een bestand met gewiste dossiers, in de vorm van onbewerkte gegevens, om vervolgens gedurende een periode van acht jaar bewaard te blijven en dan te worden vernietigd. Een vergelijking met de informatiesystemen die bijvoorbeeld zijn ingevoerd in het kader van de Overeenkomst ter uitvoering van het te Schengen gesloten Akkoord, de Europol-overeenkomst en het Eurojust-besluit, die voorzien in een bewaringstermijn van één à drie jaar, toont het buitensporig karakter aan van de in de verbintenissen genoemde duur;

– de overeenkomst voorziet niet in rechterlijk toezicht op de gegevensverwerking door de Verenigde Staten. Aangezien voorts de overeenkomst en de verbintenissen geen rechten creëren voor personen wier persoonsgegevens worden verwerkt, ziet het Parlement niet in hoe deze personen zich ten overstaan van de gerechten van de Verenigde Staten op hun rechten zouden kunnen beroepen;

– de overeenkomst staat toe dat de gegevens worden overgedragen aan andere overheidsinstanties; daarmee gaat zij verder dan nodig is voor de bestrijding van het terrorisme.

199. De ETGB verdedigt de stelling dat de verwerking van zes categorieën van gegevens een kennelijke inbreuk op het recht op het privéleven vormt.(88) Deze inbreuk zou eveneens het gevolg zijn van de mogelijkheid om op grond van deze gegevens persoonlijke profielen samen te stellen. De ETGB ondersteunt de argumenten van het Parlement ten bewijze dat de inmenging in het licht van artikel 8, lid 2, EVRM niet gerechtvaardigd is. Voorts acht deze organisatie het door het CBP geboden beschermingsniveau niet passend in de zin van artikel 25 van richtlijn 95/46, met name omdat artikel 8 EVRM niet in acht is genomen.

200. Daarentegen menen de Raad en de Commissie dat de PNR-regeling aan de voorwaarden van artikel 8, lid 2, EVRM, zoals door het EHRM uitgelegd, voldoet.

201. Aangaande in de eerste plaats de voorwaarde dat de inmenging in de wet moet zijn voorzien, is de Raad van mening dat het, ter voldoening aan het vereiste van de toegankelijkheid van de wet, niet nodig is dat de tekst van de overeenkomst zelf alle bepalingen bevat die de betrokken personen eventueel zouden kunnen raken. Het is niet in strijd met het recht om in de overeenkomst te verwijzen naar de gelijkwaardigheidsbeschikking en naar de verbintenissen van het CBP die zijn opgenomen in de bijlage bij deze beschikking, voorzover deze teksten in het Publicatieblad van de Europese Unie zijn gepubliceerd. Overigens is dit Publicatieblad niet bestemd om de wetten van derde landen te publiceren. Aangaande de onjuiste verwijzing naar de gelijkwaardigheidsbeschikking in de preambule van de overeenkomst, voert de Raad aan dat hij de nodige maatregelen zal treffen voor een rectificatie in het Publicatieblad, maar hij is van mening dat deze technische fouten niet van invloed zijn op de toegankelijkheid van de betrokken handelingen in de zin van de rechtspraak van het EHRM. Aangaande de voorwaarde betreffende de voorzienbaarheid van de wet meent de Raad dat dit vereiste niet wordt geschonden door het feit dat de verbintenissen van het CBP, alsmede de Amerikaanse wetten en constitutionele vereisten niet in extenso in de overeenkomst zelf zijn overgenomen. Bovendien bieden de verbintenissen van het CBP, die voldoende nauwkeurig zijn geredigeerd, aan de betrokken personen de mogelijkheid hun gedrag daarop af te stemmen.

202. Aangaande in de tweede plaats de voorwaarde dat de inmenging een wettig doel moet dienen, voert de Raad aan dat de bestrijding van andere ernstige misdrijven dan het terrorisme onder diverse categorieën van legitiem belang van artikel 8, lid 2, EVRM (inzonderheid de openbare veiligheid en het voorkomen van wanordelijkheden en strafbare feiten) valt. Derhalve streven de overeenkomst en de verbintenissen van het CBP een legitiem doel na, ook voorzover zij betrekking hebben op die andere ernstige misdrijven.

203. In de derde plaats meent de Raad dat de inmenging evenredig is aan het nagestreefde doel. Meer in het bijzonder voert hij aan dat de door het CBP verlangde PNR-gegevenselementen nuttig zijn ter voorkoming van terroristische handelingen of georganiseerde misdaad en ter adstructie van de onderzoeken die naar aanleiding van aanslagen plaatsvinden, aangezien zij de taak om personen die deel uitmaken van terroristische groeperingen of de georganiseerde misdaad te identificeren, vergemakkelijken. Aangaande het aantal door te geven PNR-gegevens gaat de vergelijking met de informatiesystemen die in de Europese Unie zijn ingevoerd niet op, omdat, afgezien van het feit dat deze systemen een andere doelstelling en inhoud hebben dan de PNR-regeling, de noodzaak om potentiële terroristen te traceren toegang vereist tot een groter aantal gegevens. Wat de drie PNR-gegevenselementen betreft die volgens het Parlement gevoelige gegevens zouden kunnen inhouden(89), wijst de Raad erop dat de toegang van het CBP tot deze drie gegevenselementen krachtens punt 5 van de verbintenissen van het CBP strikt beperkt is.(90) Bovendien is het op grond van de verbintenissen nrs. 9, 10 en 11 hoe dan ook uitgesloten dat het CBP gevoelige gegevens kan gebruiken.(91) Aangaande de bewaringsduur van de PNR-gegevens meent de Raad dat, gelet op het feit dat de onderzoeken die na aanslagen plaatsvinden meestal verschillende jaren duren, een normale op drieënhalf jaar vastgestelde bewaringsduur een evenwichtige oplossing vormt, behoudens in specifieke gevallen waarin deze duur langer kan zijn. Voorts bestaat er geen reden om aan te nemen dat een onafhankelijk controlesysteem ontbreekt. Ten slotte is de doorgifte van gegevens aan andere overheidsinstanties met voldoende garanties omkleed; inzonderheid kan het CBP slechts gegevens aan andere overheidsinstanties doorgeven van geval tot geval en uitsluitend ter voorkoming of bestrijding van terrorisme of andere ernstige misdrijven.

204. In de ogen van de Commissie lijdt het geen twijfel dat de overeenkomst, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP in hun totaliteit een zekere inmenging in de persoonlijke levenssfeer, van wisselende omvang naar gelang van de doorgegeven gegevens, toelaten. Deze inmenging is voorzien in de wet, dat wil zeggen dat de bovengenoemde instrumenten een legitiem doel nastreven, namelijk de bijlegging van een conflict tussen de Amerikaanse veiligheidswet en de communautaire normen betreffende de bescherming van persoonsgegevens, en in een democratische samenleving noodzakelijk zijn ter bereiking van dit doel.

205. Het Verenigd Koninkrijk is van mening dat in het kader van het onderzoek naar een eventuele schending van het recht op de bescherming van persoonsgegevens, het besluit van de Raad, d e overeenkomst, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP gezamenlijk moeten worden onderzocht, omdat zij juridische instrumenten vormen die nauw met elkaar zijn verbonden. Het is eveneens van mening dat de toegankelijkheid en de voorzienbaarheid van het toepasselijke communautaire recht moeten worden onderzocht en niet die van de wetten die op het grondgebied van de Verenigde Staten worden toegepast. Wanneer de overeenkomst, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP gezamenlijk worden beschouwd, bevat het gemeenschapsrecht naar de mening van het Verenigd Koninkrijk een duidelijke en volledige uiteenzetting van de rechtspositie van alle betrokken partijen. Voorts deelt het niet de opvatting dat de verbintenissen van het CBP naar hun aard eenzijdig zijn en door de Amerikaanse autoriteiten ongestraft kunnen worden gewijzigd en ingetrokken.

206. Aangaande de noodzaak van de inmenging benadrukt het Verenigd Koninkrijk om te beginnen dat de bestrijding van andere ernstige misdrijven duidelijk is aangekondigd als een doelstelling van de overeenkomst en wel een doelstelling van openbare orde die net zo legitiem is als de bestrijding van het terrorisme. Vervolgens meent het Verenigd Koninkrijk dat het scala aan overdraagbare gegevens, de duur van hun bewaring en de mogelijkheid van hun doorgifte aan andere instanties overeenkomen met en evenredig zijn aan deze doelstellingen, met name gezien de talrijke garanties die in de verbintenissen en de gelijkwaardigheidsbeschikking zijn opgenomen teneinde het gevaar voor het privéleven van de passagiers te beperken. Het preciseert ten slotte dat naar zijn mening het evenredigheidscriterium moet worden toegepast op grond van zowel de rechtspraak van het Hof als die van het EHRM in het licht van de aard en het belang van de onderhavige doelstellingen.

2. Beoordeling

207. Met deze middelen betoogt het Parlement dat door het besluit van de Raad en de gelijkwaardigheidsbeschikking het recht op bescherming van persoonsgegevens, zoals inzonderheid gewaarborgd in artikel 8 EVRM, wordt geschonden.

208. Het is vaste rechtspraak dat de fundamentele rechten een integrerend deel uitmaken van de algemene rechtsbeginselen waarvan het Hof de eerbiediging verzekert.(92) Daarbij laat het Hof zich leiden door de constitutionele tradities welke aan de lidstaten gemeen zijn, alsmede door de aanwijzingen die de internationale wilsverklaringen inzake de bescherming van de rechten van de mens verschaffen, waaraan de lidstaten hebben meegewerkt of waarbij zij zich hebben aangesloten. Het is van mening dat het EVRM in dit opzicht „bijzondere betekenis” toekomt.(93) In de Gemeenschap kunnen derhalve maatregelen die onverenigbaar zijn met de eerbiediging van de aldus erkende en gewaarborgde fundamentele rechten niet worden toegelaten.(94) Deze beginselen zijn in artikel 6, lid 2, EU overgenomen.

209. In de loop van de ontwikkeling van deze rechtspraak heeft het Hof het recht op eerbiediging van het privéleven in het gemeenschapsrecht opgenomen.(95) Het recht op bescherming van de persoonsgegevens vormt één van de aspecten van het recht op eerbiediging van het privéleven en wordt derhalve door artikel 8 EVRM en in de communautaire rechtsorde via de algemene rechtsbeginselen beschermd.

210. Aan de hand van het analytisch patroon van de tekst van artikel 8 EVRM zal ik onderzoeken of de PNR-regeling inbreuk maakt op het recht op eerbiediging van het privéleven. Zo zal ik eerst nagaan of deze regeling een inmenging vormt in het privéleven van vliegtuigpassagiers en vervolgens of deze inmenging gerechtvaardigd is.

a) Het bestaan van een inmenging in het privéleven

211. Dat sprake is van een inmenging in het privéleven door de combinatie van het besluit van de Raad waarin de overeenkomst wordt goedgekeurd, de gelijkwaardigheidsbeschikking en de verbintenissen van het CBP, is mijns inziens aan geen twijfel onderhevig. Het lijkt mij namelijk duidelijk dat de raadpleging, het gebruik door het CBP en het aan hem ter beschikking stellen van gegevens van vliegtuigpassagiers uit de boekingssystemen van de op het grondgebied van de lidstaten gevestigde luchtvaartmaatschappijen een inmenging van de overheidsinstanties in het privéleven van die passagiers vormen.

212. Ik preciseer eveneens dat de inmenging in het privéleven van vliegtuigpassagiers mijns inziens vaststaat, ofschoon bepaalde PNR-gegevenselementen, afzonderlijk beschouwd, geacht zouden kunnen worden op zich geen inbreuk te maken op het privéleven van de betrokken passagiers. Het komt mij namelijk noodzakelijk voor de lijst van de door het CBP verlangde PNR-gegevenselementen in zijn geheel te bezien, aangezien door middel van een onderlinge vergelijking van deze gegevens persoonlijkheidsprofielen kunnen worden uitgewerkt.

213. Een inmenging in het privéleven schendt het recht op eerbiediging van het privéleven, behoudens wanneer zij is gerechtvaardigd.

b) De rechtvaardiging van de inmenging in het privéleven

214. Om gerechtvaardigd te zijn, dient de inmenging in het privéleven aan drie voorwaarden te voldoen: zij moet in de wet zijn voorzien, een legitiem doel nastreven en in een democratische samenleving noodzakelijk zijn.

i) Is de inmenging wettelijk voorzien?

215. Volgens vaste rechtspraak van het EHRM impliceert deze voorwaarde dat de gewraakte maatregel een wettelijke grondslag heeft, en slaat zij eveneens op de kwaliteit van de betrokken wet.(96) Het onderzoek van de kwaliteit van de wet impliceert dat deze voor de burgers toegankelijk, nauwkeurig en qua gevolgen voorzienbaar is. Dit vooronderstelt dat de wet voldoende nauwkeurig definieert onder welke voorwaarden en op welke wijze het gewaarborgde recht wordt beperkt, teneinde de burger in staat te stellen zijn gedrag daarop af te stemmen en adequate bescherming te genieten tegen willekeur.(97)

216. Het Parlement betoogt dat de maatregel waarin de inmenging is voorzien, toegankelijk noch in zijn gevolgen voorzienbaar is. Ik ben het daarmee niet eens.

217. Ik ben juist van mening dat de betrokken personen, dat wil zeggen de luchtvaartmaatschappijen en de vliegtuigpassagiers, uit de bewoordingen van het besluit van de Raad en de daaraan gehechte overeenkomst, alsmede van de gelijkwaardigheidsbeschikking, die in de bijlage de verbintenissen van het CBP bevat, voldoende nauwkeurige informatie kunnen putten om hun gedrag daarop af te kunnen stemmen.

218. Ik wijs in dit verband op de betrekkelijk gedetailleerde aard van de 48 punten van de verbintenissenverklaring van het CBP, die het van toepassing zijnde rechtskader preciseren. Bovendien bevat de considerans van de gelijkwaardigheidsbeschikking verwijzingen naar de relevante Amerikaanse wet en de uitvoeringsregelingen die door het CBP op grond van die wet zijn vastgesteld.(98) Het komt mij daarom overdreven voor, te verlangen dat de toepasselijke Amerikaanse wettelijke en administratieve bepalingen in hun geheel in het Publicatieblad van de Europese Unie worden gepubliceerd. Nog afgezien van het feit dat, zoals de Raad aanvoert, dit Publicatieblad niet bestemd is om wetten van derde landen te publiceren, ben ik van mening dat de verbintenissenverklaring van het CBP, die in het Publicatieblad is gepubliceerd, essentiële informatie bevat over de wijze waarop de gegevens door het CBP worden gebruikt en over de garanties die daaraan zijn verbonden.

219. In overeenstemming met het vereiste van rechtszekerheid zijn de in de PNR-regeling genoemde luchtvaartmaatschappijen over hun verplichtingen krachtens de overeenkomst geïnformeerd, terwijl de vliegtuigpassagiers op de hoogte zijn gesteld van hun rechten, inzonderheid betreffende de toegang tot de gegevens en de correctie daarvan.(99)

220. Het is juist dat het, gelet op de samenhang tussen de individuele elementen van de PNR-regeling, betreurenswaardig is dat de verwijzing naar en de datum van de gelijkwaardigheidsbeschikking in de preambule van de overeenkomst onjuist zijn vermeld. Deze fouten maken het immers gecompliceerder voor een Europese burger om zich op de hoogte te stellen van de inhoud van de met de Verenigde Staten uitgewerkte regeling. Nochtans maken zij naar mijn mening een dergelijk onderzoek niet buitengewoon ingewikkeld, aangezien de gelijkwaardigheidsbeschikking in het Publicatieblad is gepubliceerd en de zoekinstrumenten, inzonderheid via de computer, de kennisneming daarvan vereenvoudigen. Bovendien heeft de Raad zich verplicht een rectificatie in het Publicatieblad te publiceren, hetgeen hij inderdaad heeft gedaan.(100)

221. Op grond van deze overwegingen ben ik van mening dat de inmenging in het privéleven van de betrokken vliegtuigpassagiers „bij de wet is voorzien” in de zin van artikel 8, lid 2, EVRM.

ii) Dient de inmenging een legitiem doel?

222. Gezien de verschillende in artikel 8, lid 2, EVRM genoemde doeleinden, meen ik dat de inmenging in het privéleven die in de onderhavige zaak aan de orde is, een legitiem doel nastreeft. Dit is inzonderheid het geval ten aanzien van de bestrijding van het terrorisme.

223. Evenals de Raad ben ik van mening dat de bestrijding van andere ernstige misdrijven dan het terrorisme(101) eveneens valt onder verschillende categorieën van legitiem belang vermeld in artikel 8, lid 2, EVRM, zoals de nationale veiligheid, de openbare veiligheid, en het voorkomen van wanordelijkheden of strafbare feiten. Daarom ben ik van mening dat de PNR-regeling eveneens een legitiem doel nastreeft voorzover zij betrekking heeft op die andere ernstige misdrijven.

224. Thans dient de evenredigheid van de inmenging te worden onderzocht en wel aan de hand van de vraag of deze in een democratische samenleving noodzakelijk is ter voorkoming en bestrijding van terrorisme en andere ernstige misdrijven.

iii) Is de inmenging noodzakelijk in een democratische samenleving om een dergelijk doel te bereiken?

225. Alvorens ik overga tot een gedetailleerd onderzoek van de inachtneming van deze evenredigheidsvoorwaarde, zal ik enige opmerkingen maken over de omvang van de door het Hof uit te oefenen controle.

226. Volgens het EHRM houdt het bijvoeglijk naamwoord „noodzakelijk” in de zin van artikel 8, lid 2, EVRM in, dat sprake is van „een dwingende maatschappelijke behoefte” en dat de maatregel „evenredig is aan het nagestreefde legitieme doel”.(102) Bovendien „beschikken de nationale autoriteiten over een beoordelingsruimte waarvan de omvang niet alleen afhangt van de doelstelling, maar ook van de aard van de inmenging”.(103)

227. In het kader van de controle van de beoordelingsmarge van de staten gaat het EHRM gewoonlijk eerst na of de voor de inmenging aangevoerde redenen relevant en toereikend zijn, vervolgens of de inmenging evenredig is aan het nagestreefde legitieme doel en ten slotte of een afweging is gemaakt tussen het algemeen belang en de individuele belangen.(104) Uit deze rechtspraak is de conclusie getrokken dat het evenredigheidsbeginsel, waarin het vereiste van een passende verhouding tussen een wettige doelstelling en de ter bereiking daarvan gebruikte middelen tot uiting komt, de kern van de controle van de nationale beoordelingsmarge vormt.(105)

228. De door het EHRM verrichte evenredigheidscontrole varieert naar gelang van de parameters, zoals de aard van het recht en van de betrokken activiteiten, het doel van de inmenging en de eventuele aanwezigheid van een gemeenschappelijk kenmerk van de rechtsstelsels van de staten.

229. Aangaande de aard van het recht en van de betrokken activiteiten lijkt het EHRM van mening te zijn – wanneer het een recht betreft dat nauw verband houdt met de persoonlijke levenssfeer, zoals het recht op vertrouwelijkheid van persoonsgegevens betreffende de gezondheid(106) – dat de beoordelingsmarge van de staat geringer is en dat zijn rechterlijke controle strikter moet zijn.(107)

230. Wanneer het doel van de inmenging evenwel bestaat in de bescherming van de nationale veiligheid(108) of in de bestrijding van het terrorisme(109), neigt het EHRM ertoe aan de staten een zeer ruime beoordelingsmarge toe te kennen.

231. Gezien de aard en het belang van de doelstelling van bestrijding van het terrorisme, die in het kader van de PNR-regeling een dominerende rol speelt, en rekening houdend met de politiek gevoelige context waarin de onderhandelingen tussen de Gemeenschap en de Verenigde Staten hebben plaatsgehad, ben ik van mening dat het Hof in de onderhavige zaak zou moeten beslissen dat de Raad en de Commissie over een ruime beoordelingsmarge beschikten bij de onderhandelingen met de Verenigde Staten over de inhoud van de PNR-regeling. Hieruit volgt dat de door het Hof uit te voeren controle betreffende de noodzaak van de inmenging, wanneer het Hof deze ruime beoordelingsmarge wil eerbiedigen, naar mijn mening dient te worden beperkt tot de vaststelling van een eventuele kennelijke beoordelingsfout van deze twee instellingen.(110) Door een dergelijke beperkte controle uit te voeren vermijdt het Hof het risico dat het zijn eigen oordeel over de aard van de meest geschikte en meest doelmatige middelen voor de bestrijding van terrorisme en andere ernstige misdrijven in de plaats stelt van dat van de communautaire politieke autoriteiten.

232. Met het oog op de vaststelling van de omvang van de controle die het zich voorneemt uit te oefenen, zou het Hof zich, naast de aangehaalde rechtspraak van het EHRM, kunnen verlaten op zijn eigen rechtspraak, waarin het heeft overwogen dat wanneer een communautaire instelling op een bepaald gebied over een ruime beoordelingsbevoegdheid beschikt, „aan de wettigheid van op dit gebied vastgestelde maatregelen slechts afbreuk [kan] worden gedaan, wanneer de maatregel kennelijk ongeschikt is ter bereiking van het door de bevoegde instelling nagestreefde doel”.(111) Deze beperking van de evenredigheidstoetsing „is in het bijzonder geboden, wanneer de Raad zich genoopt ziet [...] uiteenlopende belangen tegen elkaar af te wegen en aldus in het kader van de onder zijn eigen verantwoordelijkheid vallende politieke beslissingen een keuze te maken”.(112) De beperking van de controle kan eveneens worden gerechtvaardigd door de omstandigheid dat een communautaire instelling op een bepaald gebied complexe beoordelingen moet maken.(113)

233. Het komt mij voor dat deze rechtspraak en de gronden waarop zij is gebaseerd op de onderhavige zaak moeten worden toegepast, aangezien de Raad en de Commissie in het kader van de uitwerking van de PNR-regeling geconfronteerd werden met politieke keuzes tussen verschillende, lastig met elkaar in overeenstemming te brengen belangen en met complexe beoordelingen.(114) Dit zou stroken met het beginsel van de scheiding van machten, dat van het Hof verlangt dat het de politieke verantwoordelijkheden van de communautaire wetgevende en administratieve organen respecteert en bijgevolg niet in de plaats van deze laatste treedt bij de door hen te maken politieke keuzes.

234. Thans dient te worden nagegaan, of de Raad en de Commissie bij de vaststelling van de verschillende elementen waaruit de PNR-regeling bestaat, kennelijk de grenzen van hun beoordelingsmarge hebben overschreden, in het licht van het recht op eerbiediging van het privéleven en meer in het bijzonder het recht op bescherming van persoonsgegevens van vliegtuigpassagiers, gelet op de nagestreefde legitieme doelstelling.

235. Aangezien de verbintenissenverklaring van het CBP de details van de in de PNR-regeling opgenomen garanties bevat, is zij in het kader van dit onderzoek van bijzonder belang. Ik wijs er in dit verband op dat het mijns inziens een misvatting zou zijn om ervan uit te gaan dat deze verklaring niet bindend is en verbintenissen bevat die door de Amerikaanse autoriteiten vrijelijk kunnen worden gewijzigd of herroepen.

236. De verbintenissenverklaring die, zoals bekend, is gehecht aan de gelijkwaardigheidsbeschikking, vormt namelijk één van de elementen van de PNR-regeling, zodat de niet-inachtneming daarvan de volledige regeling zou blokkeren. Ik benadruk in dit verband dat de punten 1 en 2 van de overeenkomst bepalen dat de op de luchtvaartmaatschappijen rustende verplichting om de PNR-gegevens te verwerken, afhangt van de strikte toepassing van de gelijkwaardigheidsbeschikking, welke verplichting slechts geldt „zolang deze laatste van kracht is”. Voorts verklaart het CBP in punt 3 van de overeenkomst „dat het de daaraan gehechte verbintenissen uitvoert”. Ten slotte definiëren de artikelen 3, 4 en 5 van de gelijkwaardigheidsbeschikking de maatregelen die moeten worden genomen wanneer de in de verbintenissenverklaring vervatte beschermingsnormen niet in acht worden genomen. Eén van die maatregelen is dat de bevoegde autoriteiten van de lidstaten de doorgifte van gegevens aan het CBP kunnen opschorten en dat in geval van niet-inachtneming van de vereiste grondbeginselen voor een passend beschermingsniveau voor de betrokken personen, de gelijkwaardigheidsbeschikking kan worden opgeschort of ingetrokken, hetgeen tot gevolg zou hebben dat de punten 1 en 2 van de overeenkomst niet meer kunnen worden toegepast.

237. Teneinde het Hof te doen vaststellen dat de inmenging in het privéleven van deze passagiers het evenredigheidsbeginsel niet in acht neemt, beroept het Parlement zich in de eerste plaats op het excessieve aantal van de door het CBP van de luchtvaartmaatschappijen verlangde gegevens. Voorts is het van mening dat sommige van de verlangde PNR-gegevenselementen gevoelige gegevens kunnen bevatten.

238. Ik ben van mening dat de Commissie, door de vaststelling van de lijst met 34 persoonlijke gegevenselementen zoals gehecht aan de gelijkwaardigheidsbeschikking, niet heeft ingestemd met een maatregel die kennelijk ongeschikt is om de doelstelling, bestaande in de bestrijding van terrorisme en andere ernstige misdrijven, te realiseren. In de eerste plaats dient namelijk het belang van het inlichtingenwerk in de strijd tegen het terrorisme te worden benadrukt, aangezien het verkrijgen van adequate informatie ertoe kan leiden dat de veiligheidsdiensten van een staat een eventuele terroristische aanslag kunnen voorkomen. Vanuit dat perspectief kan de noodzaak om het profiel van potentiële terroristen te schetsen ertoe nopen dat een groot aantal gegevens toegankelijk is. In de tweede plaats volstaat de omstandigheid dat andere binnen de Europese Unie gehanteerde instrumenten betreffende de uitwisseling van informatie in de mededeling van een geringer aantal gegevens voorzien niet om aan te tonen dat het aantal gegevens dat op grond van het specifieke instrument dat ter bestrijding van het terrorisme is voorzien, namelijk de PNR-regeling, wordt verlangd, excessief is.(115)

239. Ofschoon de opmerking van het Parlement, dat drie van de verzochte gegevenselementen gevoelige gegevens kunnen bevatten juist is(116), wijs ik er in de eerste plaats op dat de toegang van het CBP tot deze drie elementen strikt is beperkt op grond van punt 5 van de verbintenissenverklaring, in de tweede plaats dat het op grond van de punten 9 en 11 van deze verklaring uitgesloten is dat het CBP gevoelige gegevens mag gebruiken, en ten slotte dat het CBP een filtreringssysteem van deze gegevens in gebruik heeft genomen, waartoe het zich had verplicht.(117)

240. In de tweede plaats is het Parlement van mening dat, gezien het nagestreefde doel, de PNR-gegevens van de vliegtuigpassagiers door de Amerikaanse autoriteiten te lang worden bewaard.

241. De duur van de opslag van deze gegevens wordt genoemd in punt 15 van de verbintenissenverklaring, dat in wezen voorziet in de on-linetoegang tot PNR-gegevens door geautoriseerde CBP-gebruikers gedurende een eerste periode van zeven dagen. Na afloop van deze periode kan een beperkt aantal geautoriseerde ambtenaren de gegevens gedurende een periode van drie jaar en zes maanden raadplegen. Na afloop van deze tweede periode worden de gegevens die niet handmatig zijn geraadpleegd, vernietigd, terwijl de gegevens die in de periode van drie jaar en zes maanden handmatig zijn geraadpleegd, door het CBP worden overgedragen naar een bestand met gewiste dossiers, waarin zij acht jaar opgeslagen blijven en dan worden vernietigd.(118)

242. Uit deze bepaling blijkt dat de normale bewaringsduur van PNR-gegevens drie jaar en zes maanden bedraagt, met uitzondering van de gegevens die gedurende die periode handmatig zijn geraadpleegd. Ik ben van mening dat deze duur niet kennelijk buitensporig is, met name gezien het feit dat, zoals de Raad aanvoert, de onderzoeken die naar aanleiding van terroristische aanslagen of andere ernstige misdrijven plaatsvinden, vaak verschillende jaren in beslag nemen. Ofschoon het in beginsel wenselijk is dat persoonsgegevens gedurende een korte periode worden bewaard, moet dus in de onderhavige zaak de bewaringsduur van de PNR-gegevens worden gerelateerd aan het nut dat zij opleveren, niet alleen voor de voorkoming van terrorisme maar meer in het algemeen voor strafvervolgingsdoeleinden.

243. Op grond van deze overwegingen vormt de regeling van de gegevensbewaring zoals voorzien in punt 15 van de verbintenissenverklaring geen aperte miskenning van het recht op eerbiediging van het privéleven.

244. In de derde plaats beklaagt het Parlement zich erover dat de PNR-regeling niet voorziet in enige rechterlijke controle betreffende de verwerking van persoonsgegevens door de Amerikaanse autoriteiten.

245. Ik wijs erop dat overeenkomst nr. 108 noch richtlijn 95/46 voorziet in beroep op de rechter in geval van schending van de bepalingen van nationaal recht waarmee de voorschriften die deze twee juridische instrumenten bevatten, worden toegepast.(119)

246. Gelet op artikel 8, lid 2, EVRM ben ik van mening dat de in de punten 36 en verder van de verbintenissenverklaring vervatte voorschriften, die voor de betrokken vliegtuigpassagiers voorzien in een reeks van garanties op het gebied van informatie, toegang tot de gegevens en rechtsmiddelen, eventueel misbruik kunnen voorkomen. Al deze garanties brengen mij tot de conclusie dat, gezien de ruime beoordelingsbevoegdheid waarover naar mijn mening in casu de Raad en de Commissie beschikken, de inmenging in het privéleven van de vliegtuigpassagiers evenredig is aan het door de PNR-regeling nagestreefde legitieme doel.

247. Meer in het bijzonder wil ik erop wijzen dat, naast de verplichting van het CBP om algemene informatie ter kennis van de vliegtuigpassagiers te brengen(120), punt 37 van de verbintenissenverklaring bepaalt dat de betrokken personen overeenkomstig de wet op de vrijheid van informatie(121), een kopie kunnen ontvangen van de PNR-gegevens die op hen betrekking hebben en zijn opgenomen in de databanken van het CBP.(122)

248. Het is juist dat punt 38 van de verbintenissenverklaring voorziet in de mogelijkheid dat het CBP „[i]n bepaalde uitzonderlijke omstandigheden” de openbaarmaking van het volledige PNR-bestand of een deel ervan kan weigeren of uitstellen, bijvoorbeeld indien door de openbaarmaking „naar verwachting de onderzoeksprocedures zullen worden belemmerd” of „technieken en procedures voor wetshandhavingsonderzoek zouden worden onthuld”. Het is evenwel van belang erop te wijzen dat, afgezien van het feit dat deze mogelijkheid waarvan het CBP gebruik kan maken wettelijk beperkt is, hetzelfde punt van de verbintenissenverklaring bepaalt dat volgens de FOIA „elke verzoeker het recht [heeft] om het besluit van het CBP tot het achterhouden van informatie administratief en gerechtelijk aan te vechten”.(123)

249. Met betrekking tot verzoeken om rectificatie van PNR-gegevens in de databank van het CBP en klachten van individuen over de behandeling van hun PNR-gegevens door het CBP, preciseert punt 40 van de verbintenissenverklaring bovendien dat deze moeten worden ingediend bij de „Assistant Commissioner” van het CBP(124) .

250. Indien een klacht niet door het CBP kan worden afgehandeld, mag deze schriftelijk worden gericht aan de „Chief Privacy Officer”, de hoogste verantwoordelijke voor de bescherming van het privéleven bij het ministerie van Binnenlandse Veiligheid.(125)

251. Bovendien bepaalt punt 42 van de verbintenissenverklaring: „Voorts zal het Privacy Office van het DHS klachten die door gegevensbeschermingsautoriteiten in de lidstaten van de Europese Unie namens een EU-ingezetene naar hem worden doorverwezen, snel in behandeling nemen, voorzover die ingezetene de gegevensbeschermingsautoriteit heeft gemachtigd om namens hem of haar op te treden en van oordeel is dat zijn of haar klacht over de bescherming van PNR-gegevens niet op bevredigende wijze door het CBP (zie de punten 37 t/m 42 van deze verbintenissen) of door het Privacy Office van het DHS is afgehandeld.”

252. Voorts bepaalt punt 42 enerzijds dat dit Office „zijn conclusies [zal] rapporteren en de gegevensbeschermingsautoriteit(en) over de eventueel te nemen maatregelen [zal] adviseren”, en anderzijds dat de Chief Privacy Officer „in haar rapport aan het Congres van de Verenigde Staten informatie [zal] verstrekken over het aantal, de inhoud en de afhandelin g van klachten over de behandeling van persoonlijke gegevens, zoals PNR”.(126)

253. Het Parlement wijst er terecht op dat de Chief Privacy Officer geen rechterlijk orgaan is. Ik merk evenwel op dat het een administratief orgaan betreft dat tot op zekere hoogte onafhankelijk is van het Department of Homeland Security en wiens beslissingen bindend zijn.(127)

254. Bijgevolg vormen de aldus geschapen mogelijkheid voor vliegtuigpassagiers om zich bij de Chief Privacy Officer te beklagen en in het kader van de FOIA beroep in rechte in te stellen belangrijke garanties in het licht van hun recht op eerbiediging van het privéleven. Op grond van deze garanties ben ik van mening dat de Raad en de Commissie niet de grenzen hebben overschreden die in het kader van de vaststelling van de PNR-regeling aan hun beoordelingsmarge zijn gesteld.

255. Ten slotte is het Parlement van mening dat de PNR-regeling verder gaat dan noodzakelijk is voor de bestrijding van terrorisme en andere ernstige misdrijven, aangezien zij de doorgifte van de gegevens van vliegtuigpassagiers aan andere overheidsinstanties toestaat. Volgens het Parlement beschikt het CBP over een discretionaire bevoegdheid om PNR-gegevens aan andere overheidsinstanties te verstrekken, waaronder buitenlandse overheidsinstanties, hetgeen onverenigbaar zou zijn met artikel 8, lid 2, EVRM.

256. Ik ben het daarmee niet eens. Ook in dit opzicht kan mijns inziens op grond van de garanties waarmee de doorgifte van PNR-gegevens aan andere overheidsinstanties gepaard gaat, worden aangenomen dat de inmenging in het privéleven van vliegtuigpassagiers evenredig is in verhouding tot het doel van de PNR-regeling.

257. Ook al kent de verbintenissenverklaring het CBP een belangrijke beoordelingsmarge toe, deze is niet onbeperkt. Zo mag krachtens punt 29 van de verbintenissenverklaring het verstrekken van PNR-gegevens aan andere overheidsinstanties, „waaronder ook buitenlandse overheidsinstanties”, belast met „terrorismebestrijding of wetshandhaving” alleen plaatsvinden „per geval” en in beginsel slechts „om misdrijven zoals bedoeld in punt 3 te voorkomen en te bestrijden”. Het CBP moet krachtens punt 30 van deze verklaring nagaan of de aangevoerde reden om de PNR-gegevens aan een andere aangewezen instantie door te geven, met die doelstellingen strookt.

258. Het is juist dat de punten 34 en 35 van de verbintenissenverklaring deze doeleinden uitbreiden, omdat zij tot gevolg hebben dat enerzijds het gebruik of de openbaarmaking van PNR-gegevens aan bevoegde overheidsinstanties „voorzover die openbaarmaking noodzakelijk is om de essentiële belangen van de betrokkene of van andere personen te behartigen, vooral als het om significante gezondheidsrisico’s gaat”, en anderzijds het gebruik of de openbaarmaking van PNR-gegevens „bij strafrechtelijke procedures of in andere wettelijk voorgeschreven gevallen” is toegestaan.

259. Ik wijs er evenwel op dat, afgezien van het feit dat deze doeleinden grotendeels verband houden met het door de PNR-regeling nagestreefde legitieme doel, de verbintenissenverklaring een aantal garanties bevat. Zo bepaalt bijvoorbeeld punt 31 daarvan dat „[w]at de regulering van de verspreiding van PNR-gegevens betreft die met andere aangewezen autoriteiten kunnen worden uitgewisseld, [...] het CBP [wordt] beschouwd als ‚eigenaar’ van de gegevens en [...] die aangewezen autoriteiten op grond van de uitdrukkelijke voorwaarden van openbaarmaking” verschillende verplichtingen dienen te vervullen. Onder deze verplichtingen van de autoriteiten die de gegevens ontvangen vallen inzonderheid de verplichting om „te zorgen voor de [stelselmatige vernietiging] van de ontvangen PNR-informatie, zulks volgens de door de aangewezen autoriteit toegepaste procedures voor het bewaren van bestanden”, en de verplichting „de uitdrukkelijke toestemming van het CBP te krijgen voor elke verdere verspreiding”.

260. Bovendien preciseert punt 32 van de verbintenissenverklaring dat „[e]lke openbaarmaking van PNR-gegevens door het CBP [...] plaats[vindt] onder de uitdrukkelijke voorwaarde dat de ontvanger deze gegevens behandelt als vertrouwelijke commerciële informatie en voor wetshandhaving gevoelige, vertrouwelijke persoonlijke informatie van de betrokkene [...] waarvoor de verplichting tot openbaarmaking krachtens de Freedom of Information Act [...] niet geldt”. Voorts bepaalt ditzelfde punt dat „de ontvanger erop wordt geattendeerd dat verdere openbaarmaking van dergelijke informatie niet is toegestaan zonder uitdrukkelijke voorafgaande toestemming van het CBP”, waarbij deze „geen verdere doorgifte van PNR-gegevens voor andere doeleinden dan die van punt 29, 34 of 35” zal toestaan. Ten slotte bepaalt punt 33 van de verbintenissenverklaring dat „[w]erknemers van dergelijke aangewezen autoriteiten […] die zonder de vereiste toestemming PNR-gegevens openbaar maken, [...] zich bloot[-stellen] aan strafrechtelijke sancties”.

261. Wanneer al deze garanties in aanmerking worden genomen, kan naar mijn mening niet worden gesteld dat de Raad en de Commissie de grenzen van hun ruime beoordelingsmarge – die zij mijns inziens hebben met het oog op de bestrijding van terrorisme en andere ernstige misdrijven – hebben overschreden.

262. Hieruit volgt dat de middelen gebaseerd op schending van het recht op bescherming van persoonsgegevens en schending van het evenredigheidsbeginsel niet gegrond zijn en daarom moeten worden afgewezen.

D – Het middel gebaseerd op de stelling dat het besluit van de Raad onvoldoende is gemotiveerd

263. Het Parlement voert aan dat het besluit van de Raad niet voldoet aan het in artikel 253 EG geformuleerde motiveringsvereiste. Met name beklaagt het zich erover dat dit besluit geenszins motiveert of, en in welke mate, deze handeling de werking van de interne markt tot voorwerp heeft.

264. Daarentegen is de Raad van mening – daarin ondersteund door het Verenigd Koninkrijk en de Commissie – dat de motivering van zijn besluit voldoet aan de door het Hof gestelde eisen.

265. Ik acht de motivering van het besluit van de Raad, ofschoon beknopt, toereikend.

266. Volgens vaste rechtspraak moet de door artikel 253 EG vereiste motivering „beantwoorden aan de aard van de betrokken handeling. De redenering van de instelling die de handeling heeft verricht, moet duidelijk en ondubbelzinnig tot uitdrukking komen, zodat de belanghebbenden de rechtvaardigingsgronden van de genomen maatregel kunnen kennen en het Hof zijn toezicht kan uitoefenen”. Uit deze rechtspraak blijkt voorts dat „het niet noodzakelijk is, dat alle relevante gegevens feitelijk of rechtens in de motivering van een besluit worden gespecificeerd, aangezien bij de vraag of de motivering van een besluit aan de vereisten [van artikel 253 EG] voldoet, niet alleen acht moet worden geslagen op de tekst ervan, doch ook op de context waarin het is genomen, en op het geheel van rechtsregels die de betrokken materie beheersen”.(128)

267. Wat de aard van de handeling betreft, zij eraan herinnerd dat het een besluit betreft dat er voornamelijk toe strekt namens de Gemeenschap de tussen deze laatste en de Verenigde Staten gesloten overeenkomst goed te keuren. Dit besluit bevat in dit verband de noodzakelijke preciseringen ten aanzien van de gevolgde procedure, te weten een vaststelling door de Raad overeenkomstig de in artikel 300, lid 2, eerste alinea, EG gedefinieerde procedure, alsmede de vermelding dat het Parlement geen advies heeft uitgebracht binnen de hem door de Raad krachtens artikel 300, lid 3, eerste alinea, EG gestelde termijn. Voorts wijs ik erop dat artikel 95 EG in de visa van het besluit van de Raad wordt genoemd.

268. Bovendien moet naar mijn mening het onderzoek of de motivering voldoende is, zich eveneens uitstrekken tot de preambule van de overeenkomst, gelet op de bijzondere aard van het besluit, dat niet geheel los kan worden gezien van de internationale overeenkomst waarop het betrekking heeft. Aan de hand van zowel het besluit van de Raad als van de preambule van de overeenkomst kan het Hof in dit verband, zoals aangetoond bij het onderzoek van de vorige middelen, zijn controle uitoefenen, inzonderheid ten aanzien van de vraag of de gekozen rechtsgrondslag juist is.

269. Derhalve acht ik het middel gebaseerd op de stelling dat het besluit van de Raad onvoldoende is gemotiveerd, niet gegrond en moet het dus worden afgewezen.

E – Het middel gebaseerd op schending van het in artikel 10 EG genoemde beginsel van loyale samenwerking

270. Met dit middel voert het Parlement aan dat, ofschoon de Raad krachtens artikel 300, lid 3, eerste alinea, EG hem een termijn naar gelang van de urgentie kan stellen voor het uitbrengen van zijn advies en ofschoon de procedure betreffende de inwinning van een voorafgaand advies van het Hof als bedoeld in artikel 300, lid 6, EG, geen opschortende werking heeft, de Raad de krachtens artikel 10 EG aan hem opgelegde verplichting tot loyale samenwerking heeft geschonden in het kader van de procedure tot sluiting van de overeenkomst.

271. Daarin bijgestaan door de Commissie en het Verenigd Koninkrijk is de Raad van mening dat hij, door de overeenkomst te sluiten terwijl het Parlement het Hof krachtens artikel 300, lid 6, EG om advies had gevraagd, niet het beginsel van loyale samenwerking heeft geschonden.

272. Artikel 10 EG verplicht de lidstaten ertoe, met de communautaire instellingen loyaal samen te werken, maar bepaalt niet uitdrukkelijk dat ook die instellingen onderling loyaal moeten samenwerken. Het Hof heeft evenwel beslist dat in het kader van de interinstitutionele dialoog, waarop onder meer de raadplegingsprocedure berust, dezelfde wederzijdse verplichtingen tot loyale samenwerking gelden als in de betrekkingen tussen de lidstaten en de gemeenschapsinstellingen.(129)

273. Uit de feiten van de onderhavige zaak blijkt dat de Commissie op 17 maart 2004 aan het Parlement het voorstel voor een besluit van de Raad heeft voorgelegd en dat de Raad bij brief van 25 maart 2004 het Parlement heeft verzocht om uiterlijk op 22 april 2004 advies over dat voorstel uit te brengen. In zijn brief beklemtoonde de Raad dat „de strijd tegen het terrorisme, die de voorgestelde maatregelen rechtvaardigt, een wezenlijke prioriteit van de Europese Unie vormt. De luchtvaartmaatschappijen en de passagiers verkeren momenteel in onzekerheid, waaraan spoedig een einde moet worden gemaakt. Bovendien is het noodzakelijk de financiële belangen van de betrokkenen te beschermen”.

274. Op 21 april 2004 besloot het Parlement om overeenkomstig artikel 300, lid 6, EG advies van het Hof in te winnen over de verenigbaarheid van de beoogde overeenkomst met de bepalingen van het Verdrag.

275. Op 28 april 2004 zond de Raad op grond van artikel 300, lid 3, eerste alinea, EG een brief aan het Parlement waarin hij deze instelling verzocht om vóór 5 mei 2004 advies uit te brengen over de sluiting van de overeenkomst. Ter motivering van de spoedeisendheid herhaalde de Raad de in zijn brief van 25 maart 2004 genoemde redenen.

276. Dit verzoek om een spoedbehandeling werd door het Parlement afgewezen, wiens voorzitter bovendien de Raad en de Commissie verzocht hun plannen niet uit te voeren zolang het Hof het op 21 april 2004 verzochte advies niet had uitgebracht. Niettemin stelde de Raad op 17 mei 2004 het bestreden besluit vast.

277. Naar mijn mening heeft de Raad zijn verplichting tot loyale samenwerking met het Parlement niet geschonden door het besluit tot goedkeuring namens de Gemeenschap van de overeenkomst vast te stellen alvorens de door het Parlement op grond van artikel 300, lid 6, EG ingeleide procedure betreffende de inwinning van advies van het Hof was afgerond.

278. Zoals het Parlement overigens zelf erkent, heeft de inleiding van een dergelijke procedure ter inwinning van een advies van het Hof immers geen opschortende werking. Zij belet dus niet dat de Raad besluit de overeenkomst goed te keuren, terwijl die procedure nog niet is afgerond, ondanks het feit dat de termijn tussen de indiening van het verzoek om een advies van het Hof en het besluit waarbij de overeenkomst wordt goedgekeurd, zoals in casu, relatief kort is.

279. Er zij in dit verband op gewezen dat het ontbreken van opschortende werking van een op grond van artikel 300, lid 6, EG ingediend verzoek om een advies van het Hof kan worden afgeleid uit zowel de bewoordingen van deze bepaling, waarin een dergelijke opschortende werking niet uitdrukkelijk is voorzien, als de rechtspraak van het Hof. Het Hof heeft namelijk in zijn advies 3/94(130) geoordeeld dat een dergelijk verzoek om advies zonder voorwerp geraakt en dus niet behoeft te worden beantwoord wanneer de overeenkomst waarop het betrekking heeft en die ten tijde dat het Hof werd aangezocht nog niet was gesloten, inmiddels is gesloten. Het heeft eveneens gepreciseerd, enerzijds dat de procedure van artikel 300, lid 6, EG „in de eerste plaats beoogt [...] moeilijkheden te voorkomen die het gevolg kunnen zijn van de onverenigbaarheid met het Verdrag inzake het verdragenrecht waarbij de Gemeenschap wordt gebonden en niet om de belangen en de rechten van de lidstaat of de communautaire instelling die het verzoek om een advies heeft ingediend, te beschermen ”(131), en anderzijds dat „[h]oe dan ook, de staat of de communautaire instelling die het verzoek om een advies heeft ingediend over de mogelijkheid beschikt om tegen het besluit van de Raad om de overeenkomst te sluiten beroep tot nietigverklaring in te dienen”.(132)

280. Zowel uit de stukken van het dossier als uit de tweede overweging van het besluit van de Raad blijkt bovendien, dat laatstgenoemde instelling de spoedeisendheid waarop hij zich heeft beroepen teneinde overeenkomstig artikel 300, lid 3, eerste alinea, EG op korte termijn advies van het Parlement te krijgen, voldoende heeft gemotiveerd. Ik wijs er ten slotte op dat deze laatste bepaling er uitdrukkelijk in voorziet dat „[i]ndien er binnen die termijn geen advies is uitgebracht, [...] de Raad een besluit [kan] nemen”.

281. Gelet op deze overwegingen ben ik van mening dat het middel betreffende schending door de Raad van zijn verplichting tot loyale medewerking niet gegrond is en derhalve moet worden afgewezen.

VII – Kosten

282. In zaak C‑318/04 leidt de gegrondheid van het door het Parlement ingestelde beroep ertoe dat de Commissie overeenkomstig artikel 69, lid 2, van ’s Hofs Reglement voor de procesvoering in de kosten wordt verwezen. Voorts dragen krachtens artikel 69, lid 4, van dit Reglement de interveniënten, dat wil zeggen het Verenigd Koninkrijk en de ETGB, hun eigen kosten.

283. In zaak C‑317/04 leidt de gegrondheid van het door het Parlement ingestelde beroep ertoe dat de Raad overeenkomstig artikel 69, lid 2, van ’s Hofs Reglement voor de procesvoering in de kosten wordt verwezen. Voorts dragen krachtens artikel 69, lid 4, van dit Reglement de interveniënten, dat wil zeggen het Verenigd Koninkrijk, de Commissie en de ETGB, hun eigen kosten.

VIII – Conclusie

284. Mitsdien geef ik het Hof in overweging:

– in zaak C‑318/04 beschikking 2004/535/EG van de Commissie van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven, nietig te verklaren;

– in zaak C‑317/04 besluit 2004/496/EG van de Raad van 17 mei 2004 betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, nietig te verklaren.

(1) .

(2) – Besluit 2004/496/EG (PB L 183, blz. 83; hierna: „besluit van de Raad”).

(3) – Beschikking 2004/535/EG (PB L 235, blz. 11; hierna: „gelijkwaardigheidsbeschikking”).

(4) – Deze problematiek betreft eveneens de betrekkingen van de Gemeenschap met andere derde landen. Zo wijs ik erop dat een overeenkomst van hetzelfde type als in zaak C‑317/04 aan de orde is, tussen de Europese Gemeenschap en Canada is ondertekend op 3 oktober 2005.

(5) – Zie de Aviation and Transportation Security Act (ATSA) van 19 november 2001 (Public Law 107-71, 107th Congress, Title 49, section 44909(c)(3), United States Code). Na deze wet werden uitvoeringsvoorschriften vastgesteld door het United States Bureau of Customs and Border Protection (hierna: „CBP”), zoals de Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States, gepubliceerd in het Federal Register van 31 december 2001, en de Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States, gepubliceerd in het Federal Register van 25 juni 2002 (Title 19, section 122.49b, Code of Federal Regulations).

(6) – Verordening (EEG) nr. 2299/89 van de Raad van 24 juli 1989 betreffende gedragsregels voor geautomatiseerde boekingssystemen (PB L 220, blz. 1), zoals gewijzigd bij verordening (EG) nr. 323/1999 van de Raad van 8 februari 1999 (PB L 40, blz. 1).

(7) – PB L 281, blz. 31, zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003 tot aanpassing van besluit 1999/468/EG van de Raad van de bepalingen betreffende de comités die de Commissie bijstaan in de uitoefening van haar uitvoeringsbevoegdheden die zijn vastgelegd in besluiten waarop de procedure van artikel 251 van het Verdrag van toepassing is (PB L 284, blz. 1).

(8) – Deze werkgroep is ingesteld op grond van artikel 29 van richtlijn 95/46. Het betreft een onafhankelijk raadgevend orgaan dat optreedt op het gebied van de bescherming van personen in verband met de verwerking van persoonsgegevens. De taken van deze werkgroep zijn vermeld in artikel 30 van de genoemde richtlijn alsmede in artikel 15, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201, blz. 37).

(9) – Advies 4/2003 over het in de Verenigde Staten voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau. Zie internetsite: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm.

(10) – Advies 2/2004 over de passende bescherming van in het PNR van passagiers vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (CBP) worden doorgegeven. Zie internetsite: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2004_fr.htm.

(11) – Besluit 1999/468/EG (PB L 184, blz. 23).

(12) – Zie punt 8 van deze conclusie.

(13) – In zijn verzoekschriften rechtvaardigt het Parlement deze afwijzing aldus dat nog steeds niet alle taalversies van het voorstel voor een besluit van de Raad beschikbaar waren.

(14) – Bij beschikking van de president van het Hof van 16 december 2004 werd dit verzoek in het register van het Hof doorgehaald.

(15) – Serie Europese Verdragen nr. 108 (hierna: „overeenkomst nr. 108”). Deze overeenkomst is op 1 oktober 1985 in werking getreden. Wijzigingen in deze overeenkomst zijn vastgesteld door het comité van ministers van de Raad van Europa op 15 juni 1999, teneinde het de Europese Gemeenschappen mogelijk te maken toe te treden (deze wijzigingen zijn tot dusverre niet door alle staten die overeenkomst nr. 108 hebben ondertekend, aanvaard). Zie eveneens het aanvullend protocol bij overeenkomst nr. 108 betreffende de toezichthoudende autoriteiten en de grensoverschrijdende gegevensstroom, dat op 8 november 2001 ter ondertekening is voorgelegd en op 1 juli 2004 in werking is getreden (Serie Europese Verdragen nr. 181).

(16) – PB 2000, C 364, blz. 1. Dit Handvest, dat door de voorzitters van het Parlement, de Raad en de Commissie ter gelegenheid van de vergadering van de Europese Raad te Nice op 7 december 2000 werd ondertekend en afgekondigd, maakt deel uit van deel II van het Verdrag tot vaststelling van een Grondwet voor Europa, dat nog niet in werking is getreden (PB 2004, C 310, blz. 41). Zoals het Gerecht van eerste aanleg van de Europese Gemeenschappen heeft beklemtoond, bewijst „het Handvest van de grondrechten van de Europese Unie […] hoewel het geen bindende rechtskracht heeft, het belang in de communautaire rechtsorde […] van de rechten die het bevat”. Zie arrest van 15 januari 2003, Philip Morris International e.a./Commissie (T‑377/00, T‑379/00, T‑380/00, T‑260/01 en T‑272/01, Jurispr. blz. II‑1, punt 122).

(17) – Artikel 286, lid 2, EG luidt als volgt:

„Vóór de in lid 1 genoemde datum stelt de Raad volgens de procedure van artikel 251 een onafhankelijk controleorgaan in dat belast is met het toezicht op de toepassing van die besluiten van de Gemeenschap op de instellingen en organen van de Gemeenschap, en neemt hij zo nodig andere bepalingen terzake aan.”

Op grond van artikel 286 EG is vastgesteld verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1).

(18) – Zie voor een gedetailleerde beschrijving van het algemene kader waarin deze richtlijn en de bepalingen daarvan zijn tot stand gekomen, Boulanger, M.‑H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau, D., en Poullet, Y., „La protection des données à caractère personnel en droit communautaire”, JTDE, 1997, nrs. 40, 41 en 42. Zie eveneens Simitis, S., Data Protection in the European Union – the Quest for Common Rules , Collected Courses of the Academy of European Law, Deel VIII, Boek I, 2001, blz. 95. Ik wijs er eveneens op dat een specifieke richtlijn, te weten richtlijn 2002/58, beoogt de sector elektronische communicatie te regelen.

(19) – Zevende overweging.

(20) – Achtste overweging.

(21) – Negende overweging.

(22) – Als voorbeelden kunnen worden genoemd de gegevensstromen die te maken hebben met de persoonlijke bewegingsvrijheid, het elektronische handelsverkeer en mededelingen binnen een concern.

(23) – Zevenenvijftigste overweging van de considerans van richtlijn 95/46.

(24) – Overeenkomst ter uitvoering van het tussen de regeringen van de staten van de Benelux Economische Unie, de Bondsrepubliek Duitsland en de Franse Republiek op 14 juni 1985 te Schengen gesloten akkoord betreffende de geleidelijke afschaffing van de controles aan de gemeenschappelijke grenzen, ondertekend te Schengen op 19 juni 1990 (PB 2000, L 239, blz. 19).

(25) – Zie artikelen 102‑118 van dat akkoord. Aangaande het Schengeninformatiesysteem van de tweede generatie (SIS II) heeft de Commissie voorstellen gedaan met het oog op de vaststelling van een besluit van de Raad [COM/2005/230 def.] en van twee verordeningen [COM/2005/236 def. en COM/2005/237 def.].

(26) – PB 1995, C 316, blz. 2; hierna: „Europol-overeenkomst”.

(27) – Besluit 2002/187/JBZ van 28 februari 2002 betreffende de oprichting van Eurojust teneinde de strijd tegen ernstige vormen van criminaliteit te versterken (PB L 63, blz. 1; hierna: „Eurojust-besluit”). Zie de artikelen 14 e.v. van dit besluit.

(28) – PB 2005, C 68, blz. 1.

(29) – PB 1995, C 316, blz. 34. Zie inzonderheid artikelen 13‑15, 17 en 18 van genoemde overeenkomst.

(30) – Akte van de Raad van 29 mei 2000 tot vaststelling, overeenkomstig artikel 34 van het Verdrag betreffende de Europese Unie, van deze overeenkomst (PB 2000, C 197, blz. 1). Zie inzonderheid artikel 23 daarvan.

(31) – COM/2005/475 def. Dit voorstel voor een kaderbesluit is gebaseerd op de artikelen 30 EU, 31 EU en 34, lid 2, sub b, EU. Het vormt één van de maatregelen voorzien in het actieplan van de Raad en de Commissie ter uitvoering van het Haags programma ter versterking van vrijheid, veiligheid en recht in de Europese Unie (PB 2005, C 198, blz. 1, punt 3.1).

(32) – Aangezien het een uitvoeringsmaatregel van richtlijn 95/46 betreft, is de gelijkwaardigheidsbeschikking vastgesteld volgens de procedure bedoeld in artikel 31, lid 2, van deze richtlijn, welke bepaling op haar beurt de toepassing van de artikelen 4, 7 en 8 van besluit 1999/468 voorschrijft. Dienovereenkomstig wordt de Commissie, wanneer zij een uitvoeringsmaatregel van de genoemde richtlijn vaststelt, bijgestaan door een comité bestaande uit vertegenwoordigers van de lidstaten en voorgezeten door de vertegenwoordiger van de Commissie. In casu betreft het het zogenoemde „artikel 31”-comité.

(33) – Zie punt 47 van het document.

(34) – Het betreft de volgende rubrieken: „1. PNR-bestandslocatiecode; 2. Boekingsdatum; 3. Geplande reisdatum (-data); 4. Naam; 5. Andere namen in het PNR; 6. Adres; 7. Betalingswijzen; 8. Factuuradres; 9. Telefoonnummers; 10. Volledige reisroute voor dit specifieke PNR; 11. Informatie over passagiers die vaak reizen (alleen afgelegde afstand in mijlen en adres-(sen); 12. Reisbureau; 13. Reisagent; 14. Code uitwisseling PNR-informatie; 15. Reisstatus passagier ( Travel status of passengers ); 16. Opgesplitste/opgedeelde PNR-informatie; 17. E-mailadres; 18. Informatie uit het reisbiljetveld; 19. Algemene opmerkingen; 20. Ticketnummer; 21. Zitplaatsnummer; 22. Uitgiftedatum reisticket; 23. ‚No-show’-antecedenten; 24. Bagagebiljetnummers; 25. „Go-show”-informatie; 26. OSI-informatie (‚Other Service Information’); 27. SSI/SSR-informatie (‚Special Service Request’); 28. Informatiebron(nen); 29. Alle vroegere wijzigingen van het PNR; 30. Aantal reizigers in het PNR; 31. Informatie over de zitplaats; 32. Enkele-reistickets; 33. Alle verzamelde APIS-informatie (‚Advanced Passenger Information System’); 34. ATFQ‑velden (‚Automatic Ticketing Fare Quote’)”.

(35) – Hierna: „overeenkomst”.

(36) – Zie de informatie betreffende de datum van inwerkingtreding van de Overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan het CBP (PB 2004, C 158, blz. 1).

(37) – In dit verband wil ik erop wijzen dat de preambule van de genoemde overeenkomst een onjuiste verwijzing naar de gelijkwaardigheidsbeschikking bevat. Het betreft in werkelijkheid beschikking 2004/535/EG van 14 mei 2004, waarvan kennis is gegeven onder nr. C(2004) 1914, en niet besluit C(2004) 1799 van 17 mei 2004. De rectificatie hiervan is gepubliceerd in het Publicatieblad van de Europese Gemeenschap . Zie het proces-verbaal van verbetering van de overeenkomst (PB 2005, L 255, blz. 168).

(38) – De doorgifte van gegevens door de luchtvaartmaatschappijen wordt ook wel aangeduid als „push”-systeem en de directe toegang van het CBP tot deze gegevens als „pull”-systeem.

(39) – Het betreft de gelijkwaardigheidsbeschikking, de enige „beschikking” die in de preambule van de overeenkomst wordt genoemd.

(40) – Zie voetnoot 39.

(41) – Punt 5 van de overeenkomst.

(42) – Punt 6 van de overeenkomst.

(43) – Beschikkingen van de president van het Hof van 18 januari 2005, respectievelijk 18 november 2004.

(44) – Beschikking van het Hof van 17 maart 2005.

(45) – Beschikking van de president van het Hof van 17 december 2004.

(46) – Beschikking van het Hof van 17 maart 2005.

(47) – Arrest van 6 november 2003, Lindqvist (C‑101/01, Jurispr. blz. I‑12971, punt 63).

(48) – Ik herinner eraan dat onder deze factoren inzonderheid voorkomen de aard van de gegevens alsmede het doel en de duur van de voorgenomen verwerking of verwerkingen.

(49) – Arrest Lindqvist, reeds aangehaald, punt 56. In deze zaak heeft het Hof geoordeeld dat de vermelding op een internetpagina van persoonsgegevens, waardoor deze gegevens slechts toegankelijk worden gemaakt voor personen die zich in een derde land bevinden, niet een „doorgifte naar een derde land” in de zin van artikel 25 van richtlijn 95/46 vormt. Het Hof kwam tot deze conclusie, na rekening te hebben gehouden met zowel de technische aard van de betrokken handelingen als met het doel en de systematiek van hoofdstuk IV van deze richtlijn, waarvan artikel 25 deel uitmaakt.

(50) – Ongeacht of de gegevens worden ontvangen door een specifieke component van het binnenlandse administratieve stelsel van dit derde land.

(51) – Het is interessant vast te stellen dat de begrippen verwerking en doorgifte van persoonsgegevens elkaar gedeeltelijk dekken. Zo kunnen naar mijn mening het verstrekken door middel van doorzending, verspreiding of terbeschikkingstelling van dergelijke gegevens zowel een verwerking als een doorgifte van de gegevens in de zin van de richtlijn vormen. In de onderhavige zaak dekken de begrippen doorgifte en verwerking elkaar, voorzover de ingevoerde regeling met name tot doel heeft de PNR-gegevens ter beschikking van het CBP te stellen. Dit wordt mijns inziens verklaard door de zeer ruime definitie van verwerking, waaronder een breed scala aan handelingen valt. Uiteindelijk komt in een dergelijk geval de doorgifte van gegevens naar een derde land geacht neer op een specifieke vorm van verwerking. Zie in deze zin het voorstel voor een kaderbesluit van de Commissie: artikel 15 daarvan, betreffende de „[d]oorgifte aan bevoegde instanties in derde landen of aan internationale organen”, maakt deel uit van hoofdstuk III met het opschrift „Specifieke vormen van verwerking”.

(52) – Bij wijze van voorbeeld vestig ik er de aandacht op dat beschikking 2000/519/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/EG betreffende de passende bescherming van persoonsgegevens in Hongarije (PB L 215, blz. 4), in artikel 1 ervan bepaalt dat „[v]oor de toepassing van artikel 25, lid 2, van richtlijn 95/46 EG op alle onder die richtlijn vallende activiteiten [...] Hongarije [wordt] geacht een passend beschermingsniveau voor vanuit de Gemeenschap doorgegeven persoonsgegevens te bieden” (cursivering van mij).

(53) – Cursivering van mij. In het reeds aangehaalde arrest Lindqvist merkte het Hof op, dat „[d]e in artikel 3, lid 2, eerste streepje, van richtlijn 95/46 als voorbeeld genoemde activiteiten [...] telkens specifieke activiteiten [zijn] van de staten of de overheidsdiensten en [...] met de activiteiten van particulieren niets van doen [hebben]” (punt 43).

(54) – Zesde overweging.

(55) – Zevende overweging.

(56) – Achtste overweging.

(57) – Zie in deze zin het artikel van Poullet, Y., en Peres Asinan, M.V., „Données des voyageurs aériens : le débat Europe – Etats-Unis”, JTDE, 2004, nr. 113, blz. 274. Volgens deze schrijvers „[moet] de oplossing waarmee deze zeer specifieke stroom van grensoverschrijdende gegevens zal worden gelegitimeerd, [...] de geldigheid garanderen van een doorgifte van gegevens aan buitenlandse staatsinstellingen die wordt verricht met het doel het terrorisme te bestrijden [...], hetgeen, zoals alom bekend, buiten de werkingssfeer van een richtlijn van de eerste pijler valt”. Zij voegen hieraan toe dat „[d]it [...] op Europees niveau overeen[komt] met een aangelegenheid van de derde pijler, hetgeen de vraag oproept naar de bevoegdheid van de Commissie om ter zake handelend op te treden [...]”. Zie eveneens De Schutter, O., „La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme”, in Lutte contre le terrorisme et droits fondamentaux ; Bribosia, E., en Weyembergh, A. (uitg.), Collection droit et Justice, Bruylant, Brussel, 2002, blz. 112, voetnoot nr. 43: na artikel 3, lid 2, eerste streepje, van richtlijn 95/46 te hebben aangehaald, merkt de auteur op dat „[d]eze beperking van de werkingssfeer van de richtlijn wordt verklaard door de beperkte aard van de bevoegdheden van de Europese Commissie, die niet beschikt over een algemene wetgevingsbevoegdheid op het gebied van de rechten van de mens maar op dit gebied alleen kan optreden waar en voorzover, zoals in het geval [van deze richtlijn], de bevordering van de verwezenlijking van een interne markt aan de orde is, waartoe met name behoort de opheffing van belemmeringen voor het vrije goederen‑ en dienstenverkeer”.

(58) – De PNR-gegevens worden aldus binnen de Gemeenschap verwerkt, dat de gegevens ter beschikking van het CBP worden gesteld. Wegens het gebruik dat het CBP van deze gegevens maakt, zijn zij ook bestemd om na hun doorgifte te worden verwerkt.

(59) – Dit betekent niet dat een gelijkwaardigheidsbeschikking vastgesteld in een kader dat vergelijkbaar is met dat van de onderhavige zaak, in de rechtsorde van de Europese Unie de wezenlijke waarborgen op het gebied van de bescherming van persoonsgegevens, zoals zij inzonderheid zijn opgesomd in overeenkomst nr. 108, niet in acht behoeft te nemen. Ik ben dienaangaande alleen van mening dat richtlijn 95/46 niet de passende referentienorm is, aangezien, zoals wij hebben gezien, de doelstelling van de gelijkwaardigheidsbeschikking verder gaat dan de werkingssfeer van de door deze richtlijn gevormde basisnorm. Bij gebreke van een norm van afgeleid recht die van toepassing is op de verwerking van persoonsgegevens met het oog op de vervolging van strafbare feiten en op de openbare veiligheid, kunnen deze waarborgen niet aan een abstracte rechterlijke controle worden onderworpen. In een dergelijk geval is echter van een ontbreken van rechterlijke bescherming geen sprake. Het onderzoek van de wezenlijke waarborgen op het gebied van de bescherming van persoonsgegevens is immers, zoals wij zullen zien, nauw verbonden met het onderzoek van de in artikel 8, lid 2, EVRM gestelde voorwaarden.

(60) – Hierna: „PNR-regeling”.

(61) – Het zogenoemde arrest „AETR” van 31 maart 1971, Commissie/Raad (22/70, Jurispr. blz. 263).

(62) – Zie onder meer het zogenoemde arrest „Titiaandioxyde” van 11 juni 1991, Commissie/Raad, (C‑300/89, Jurispr. blz. I‑2867, punt 10), alsmede arresten van 12 november 1996, Verenigd Koninkrijk/Raad (C‑84/94, Jurispr. blz. I‑5755, punt 25); 25 februari 1999, Parlement/Raad (C‑164/97 en C‑165/976, Jurispr. blz. I‑1139, punt 12); 4 april 2000, Commissie/Raad (C‑269/97, Jurispr. blz. I‑2257, punt 43); 19 september 2002, Huber (C‑336/00, Jurispr. blz. I‑7699, punt 30); 29 april 2004, Commissie/Raad (C‑338/01, Jurispr. blz. I‑4829, punt 54), en 13 september 2005, Commissie/Raad (C‑176/03, Jurispr. blz. I‑7879, punt 45).

(63) – Arrest van 26 maart 1987, Commissie/Raad (45/86, Jurispr. blz. 1493, punt 11).

(64) – Advies 2/00 van 6 december 2001 op grond van artikel 300, lid 6, EG (Jurispr. blz. I‑9713, punt 5).

(65) – Hieronder zal ik de uitdrukking „bestrijding van terrorisme en andere ernstige misdrijven” gebruiken om deze doelstelling aan te geven.

(66) – Bovendien vormt terrorisme een internationaal fenomeen dat zich van ruimtelijke barrières niets aantrekt.

(67) – Zie punt 10 van de conclusie van advocaat-generaal Tesauro in de reeds aangehaalde zaak Titaandioxyde.

(68) – Arresten van 5 oktober 2000, Duitsland/Parlement en Raad (C‑376/98, Jurispr. blz. I‑8419, punten 83, 84 en 95), en 10 december 2002, British American Tobacco (Investments) en Imperial Tobacco (C‑491/01, Jurispr. blz. I‑11453, punt 60).

(69) – Zie in deze zin arrest van 13 juli 1995, Spanje/Raad (C‑350/92, Jurispr. blz. I‑1985, punt 35), en arrest Duitsland/Parlement en Raad, reeds aangehaald (punt 86); arrest van 9 oktober 2001 (Nederland/Parlement en Raad (C‑377/98, Jurispr. blz. I‑7079, punt 15); arrest British American Tobacco (Investments) en Imperial Tobacco, reeds aangehaald (punt 61), en arrest van 14 december 2004, Arnold André (C‑434/02, Jurispr. blz. I‑11825, punt 31).

(70) – Zie inzonderheid het arrest van 9 november 1995, Duitsland/Raad (C‑426/93, Jurispr. blz. I‑3723, punt 33).

(71) – Zie met name arresten van 17 maart 1993, Commissie/Raad (C‑155/91, Jurispr. blz. I‑939, punten 19 en 21); 23 februari 1999, Parlement/Raad (C‑42/97, Jurispr. blz. I‑869, punten 39 en 40); 30 januari 2001, Spanje/Raad (C‑36/98, Jurispr. blz. I‑779, punt 59), en 12 december 2002, Commissie/Raad (C‑281/01, Jurispr. blz. I‑12049, punt 34).

(72) – Zie met name arrest Titaandioxyde (punten 13 en 17); arrest van 23 februari 1999, Parlement/Raad (punten 38 en 43); arrest Huber (punt 31), en arrest van 12 december 2002, Commissie/Raad (punt 35), alle reeds aangehaald.

(73) – Arrest van 12 december 2002, Commissie/Raad, reeds aangehaald, punt 46.

(74) – Arrest van 20 mei 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 en C‑139/01, Jurispr. blz. I‑4989, punt 39). Gelet op het verschillende voorwerp en doel van de overeenkomst en richtlijn 95/46, ben ik voorts van mening dat het onwaarschijnlijk is dat, zoals de Commissie stelt, aan deze richtlijn afbreuk zou zijn gedaan in de zin van het arrest AETR, indien de lidstaten afzonderlijk of gezamenlijk een overeenkomst van dit type buiten het communautaire kader hadden gesloten.

(75) – Ik wijs erop dat zo nu en dan gewag wordt gemaakt van de „derde pijler”-dimensie van de doorgifte van persoonsgegevens van de luchtvaartmaatschappijen aan de Verenigde Staten. Zo heeft de „artikel 29-groep” voor de bescherming van de gegevens in een advies van 24 oktober 2002 (Advies 6/2002 inzake de doorgifte door luchtvaartmaatschappijen van informatie betreffende passagiers en bemanningsleden en van andere gegevens aan de Verenigde Staten), de mening verkondigd, dat in beginsel de doorgiften van gegevens aan overheidsinstanties van een derde land om redenen die verband houden met de openbare orde van dat land moet worden bezien in samenhang met de in de derde pijler (politiële en justitiële samenwerking) ingevoerde samenwerkingsmechanismen. Het is belangrijk dat de normale samenwerkingsmechanismen van de derde pijler niet via de eerste pijler worden omzeild. Zie internetsite: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2002_fr.htm.

(76) – Aangaande de rechtstreekse uitwisseling van informatie tussen overheidsinstanties verwijs ik naar het besluit van de Raad van 27 maart 2000 tot machtiging van de directeur van Europol om onderhandelingen aan te knopen over overeenkomsten met derde staten of niet aan de Europese Unie gerelateerde instanties (PB C 106, blz. 1). Op die grondslag is op 20 december 2002 een overeenkomst tussen Europol en de Verenigde Staten van Amerika betreffende de uitwisseling van persoonsgegevens ondertekend.

(77) – Deze problematiek is de kern van de actuele interinstitutionele discussie over de bewaring van gegevens door de verleners van telefonische – en elektronische – communicatiediensten. De in het kader van deze discussie tot uitdrukking gekomen tegengestelde standpunten van degenen volgens wie deze problematiek in het kader van de eerste pijler moet worden behandeld en degenen die juist van mening zijn dat dit onderwerp onder de derde pijler valt, getuigen zowel van de nieuwheid als van de complexiteit van de problematiek betreffende het gebruik van commerciële gegevens voor strafvervolgingsdoeleinden. Zie dienaangaande het ontwerp-kaderbesluit inzake de bewaring van gegevens die zijn verwerkt en opgeslagen in verband met het aanbieden van openbare elektronische-communicatiediensten, of van gegevens die via openbare communicatienetwerken worden doorgegeven met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, daaronder begrepen terrorisme (ontwerp ingediend op 28 april 2004 op initiatief van de Republiek Frankrijk, Ierland, het Koninkrijk Zweden en het Verenigd Koninkrijk) alsmede het overeenkomstige voorstel van de Commissie voor een richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en tot wijziging van richtlijn 2002/58, ingediend op 21 september 2005 [COM(2005)438 def.].

(78) – Zie, betreffende het opleggen van economische en financiële sancties zoals de bevriezing van tegoeden van personen en entiteiten die ervan worden verdacht de financiering van het terrorisme te steunen, arresten Gerecht van 21 september 2005, Yusuf en Al Barakaat International Foundation/Raad en Commissie (T‑306/01, Jurispr. blz. ‑3533, punt 152), alsmede Kadi/Raad en Commissie (T‑315/01, Jurispr. blz. II‑3649, punt 116). In de bijzondere context van deze zaken heeft het Gerecht nochtans rekening gehouden met „de brug die bij de uit het Verdrag van Maastricht voortvloeiende herziening specifiek is geslagen tussen de optredens van de Gemeenschap houdende economische sancties uit hoofde van de artikelen 60 EG, en 301 EG en de doelstellingen van het EU-Verdrag op het gebied van externe betrekkingen” (punt 159 van arrest T‑306/01, en punt 123 van arrest T‑315/01. Meer in het algemeen heeft het Gerecht eveneens vastgesteld dat „de strijd tegen het internationale terrorisme en de financiering daarvan ontegenzeggelijk [behoort] tot de doelstellingen van de Unie in het kader van het GBVB, zoals deze in artikel 11 EU zijn omschreven [...]” (punt 167 van arrest T‑306/01, en punt 131 van arrest T‑315/01). Ik voeg hieraan toe dat artikel 2 EU bepaalt: „De Unie stelt zich ten doel [...] handhaving en ontwikkeling van de Unie als een ruimte van vrijheid, veiligheid en rechtvaardigheid waarin het vrije verkeer van personen gewaarborgd is, in combinatie met passende maatregelen met betrekking tot controles aan de buitengrenzen, asiel, immigratie en voorkoming en bestrijding van criminaliteit [...]” (cursivering van mij). Voorts bepaalt artikel 29, tweede alinea, EU, dat het doel van de Unie om de burgers een hoog niveau van zekerheid te verschaffen in een ruimte van vrijheid, veiligheid en rechtvaardigheid, „wordt verwezenlijkt door het voorkomen en bestrijden van al dan niet georganiseerde criminaliteit, met name terrorisme […]”. Cursivering van mij. Zie inzake de externe dimensie van de Europese strafrechtelijke ruimte, De Kerchove, G., en Weyembergh, A., Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, uitgaven van de Universiteit van Brussel, 2003.

(79) – Daarentegen heeft het Hof zich al over een ander geval uitgesproken waarin de instemming van het Parlement is vereist, te weten „akkoorden die aanzienlijke gevolgen voor de begroting van de Gemeenschap hebben”: arrest van 8 juli 1999, Parlement/Raad (C‑189/97, Jurispr. blz. I‑4741).

(80) – Zie Schmitter, C., „Article 228”, in Constantinesco, V., Kovar, R., en Simon, D., Traité sur l’Union européenne, commentaire article par article , Économica, 1995, blz. 725, met name punt 43.

(81) – Zie in deze zin Schmitter, C., t.p.a.

(82) – Ik wijs er in dit verband op dat in het Verdrag tot vaststelling van een Grondwet voor Europa gekozen is voor een ruimere benadering die voor goedkeuring door het Parlement pleit: artikel III-325 van dit Verdrag, betreffende de procedure voor de sluiting van internationale overeenkomsten, bepaalt immers in lid 6, sub a, v, dat de Raad het besluit tot sluiting van de overeenkomst vaststelt na goedkeuring door het Parlement, inzonderheid in het geval van „overeenkomsten betreffende gebieden waarop de gewone wetgevingsprocedure, of, indien de goedkeuring van het Europees Parlement vereist is, de bijzondere wetgeving van toepassing is (cursivering van mij).

(83) – Cursivering van mij.

(84) – Punt 107 van deze conclusie.

(85) – Zie de punten 109 e.v. van deze conclusie.

(86) – Het Parlement verwijst dienaangaande naar het arrest van 20 mei 2003, Consorzio del Prosciutto di Parma en Salumificio S. Rita (C‑108/01, Jurispr. blz. I‑5121, punt 89).

(87) – Het Parlement noemt in dit verband met name de Europol-overeenkomst, die in artikel 8, lid 2, in de verwerking van vijf gegevens voorziet, alsmede richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB L 261, blz. 24). Deze richtlijn, die als rechtsgrondslag de artikelen 62, lid 2, sub a, EG en 63, lid 3, sub b, EG heeft, voorziet in artikel 3 in de verplichting van luchtvaartmaatschappijen om op verzoek van de autoriteiten die belast zijn met de controle van personen aan de buitengrenzen, in totaal negen persoonsgegevens te verstrekken.

(88) – Het betreft volgens de ETGB de gegevenselementen 11 „Informatie over passagiers die vaak reizen (alleen afgelegde afstand in mijlen en adres(sen)”; 19 „Algemene opmerkingen”; 26 „OSI-informatie (andere informatie over serviceverlening)”; 27 „SSI/SSR-informatie (informatie over bijzondere serviceverlening en de daarbij gestelde eisen); 30 „Aantal reizigers in het PNR”, en 33 „Alle verzamelde APIS-informatie (Advanced Passenger Information System)”.

(89) – Het betreft de rubrieken nrs. 19, 26 en 27 (zie vorige voetnoot).

(90) – Punt 5 van de verbintenissenverklaring bepaalt:

„Wat de met ‚OSI’ en ‚SSI/SSR’ aangeduide gegevenselementen betreft (meestal algemene opmerkingen en open velden) zal het geautomatiseerde systeem van het CBP die velden voor alle andere in aanhangsel A opgesomde gegevenselementen doorzoeken [in de lijst van verzochte PNR-gegevenselementen]. Het CBP-personeel zal niet gemachtigd zijn om de volledige OSI‑ en SSI/SSR-velden manueel te doorzoeken, tenzij de persoon op wie het PNR betrekking heeft, door het CBP is geïdentificeerd als een ernstig risico in verband met één van de in punt 3 vermelde doeleinden.”

(91) – Punt 9 van de verbintenissenverklaring bepaalt:

„Het CBP zal geen ‚gevoelige’ gegevens (d.w.z. persoonlijke gegevens waaruit het ras of de etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, en gegevens die de gezondheid of het seksuele leven betreffen) uit het PNR gebruiken, zoals hieronder wordt beschreven.”

Punt 10 van die verklaring luidt als volgt:

„Het CBP zal op zo kort mogelijke termijn een geautomatiseerd systeem opzetten dat bepaalde, in overleg met de Europese Commissie vastgestelde ‚gevoelige’ PNR-codes en termen filtreert en wist.”

Punt 11 van deze verklaring is als volgt geredigeerd:

„Zolang dergelijke automatische filters niet kunnen worden toegepast, verklaart het CBP dat het geen ‚gevoelige’ PNR-gegevens gebruikt of zal gebruiken en verbindt zich ertoe dergelijke gegevens in geval van discretionaire openbaarmaking van PNR overeenkomstig de punten 28 t/m 34 te wissen.”

Deze laatste punten hebben betrekking op de doorgifte van PNR-gegevens aan andere regeringsinstanties.

(92) – Zie inzonderheid arresten van 12 november 1969, Stauder (29/69, Jurispr. blz. 419, punt 7); 17 december 1970, Internationale Handelsgesellschaft (11/70, Jurispr. blz. 1125, punt 4), en 14 mei 1974, Nold/Commissie (4/73, Jurispr. blz. 491, punt 13).

(93) – Zie met name arresten van 18 juni 1991, ERT (C‑260/89, Jurispr. blz. I‑2925, punt 41); 29 mei 1997, Kremzow (C‑299/95, Jurispr. blz. I‑2629, punt 14), en 6 maart 2001, Connolly/Commissie (C‑274/99 P, Jurispr. blz. I‑1611, punt 37).

(94) – Arrest van 13 juli 1989, Wachauf (5/88, Jurispr. blz. 2609, punt 19).

(95) – Arrest van 26 juni 1980, National Panasonic/Commissie (136/79, Jurispr. blz. 2033, punten 18 en 19). Dit recht omvat met name het recht op bescherming van het medisch geheim [zie arresten van 8 april 1992, Commissie/Duitsland (C‑62/90, Jurispr. blz. I‑2575), en 5 oktober 1994, X/Commissie (C‑404/92 P, Jurispr. blz. I‑4737)]. Aangaande het recht op bescherming van persoonsgegevens verwijs ik wederom naar de al aangehaalde arresten Österreichischer Rundfunk e.a. en Lindqvist.

(96) – Zie EHRM, arrest Kruslin tegen Frankrijk van 24 april 1990, serie A nr. 176, § 27.

(97) – Zie EHRM, arrest Olsson tegen Zweden van 24 maart 1988, serie A nr. 130, § 61 en 62. De beperkingen moeten zijn voorzien in bepalingen die voldoende nauwkeurig zijn om de belanghebbenden in staat te stellen hun gedrag daarop af te stemmen, zonodig na het inwinnen van deskundig advies (EHRM, arrest Sunday Times tegen Verenigd Koninkrijk van 26 april 1979, serie A nr. 30, § 49).

(98) – Zie de zesde overweging van de gelijkwaardigheidsbeschikking en de daarbij behorende voetnoten 2 en 3.

(99) – Zie de punten 36‑42 van de verbintenissenverklaring.

(100) – Zie het proces-verbaal van verbetering van de overeenkomst dat, zoals bekend, in het PB L 255 van 30 september 2005 is gepubliceerd.

(101) – Ik herinner eraan dat de preambule van de overeenkomst gewag maakt van het voorkomen en de bestrijding van het terrorisme „en daarmee samenhangende misdrijven en andere ernstige misdrijven van grensoverschrijdende aard met inbegrip van de georganiseerde misdaad”. Bovendien bepaalt punt 3 van de verbintenissenverklaring dat de „PNR-gegevens [...] door het CBP uitsluitend [worden] gebruikt ter preventie en bestrijding van: 1. terrorisme en aanverwante vormen van criminaliteit; 2. andere zware misdrijven, waaronder georganiseerde misdaad, die van transnationale aard zijn, en 3. ontvluchten van aanhoudingsbevelen of arrestatie voor de bovengenoemde misdrijven”. De vijftiende overweging van de gelijkwaardigheidsbeschikking is in dezelfde bewoordingen gesteld.

(102) – Zie met name EHRM, arrest Gillow tegen Verenigd Koninkrijk van 24 november 1986, serie A nr. 109, § 55.

(103) – Zie EHRM, arrest Leander tegen Zweden van 26 maart 1987, serie A nr. 116, § 59.

(104) – Zie bijvoorbeeld EHRM, arrest Klass tegen Duitsland van 6 september 1987, serie A nr. 28, § 59, betreffende de geheime bewaking van de correspondentie en de telecommunicatie van burgers ten behoeve van de bestrijding van het terrorisme. In dit arrest heeft het EHRM geoordeeld dat een bepaalde vorm van compromis tussen de vereisten van de verdediging van de democratische samenleving en die van de waarborging van individuele rechten inherent is aan het stelsel van het ECRM.

(105) – Sudre, F., Droit européen et international des droits de l’homme , 7e herziene druk, PUF, 2005, blz. 219. De auteur constateert eveneens dat al naar gelang het Europees Hof de evenredigheidsvoorwaarde meer of minder strikt formuleert – streng, billijk, redelijk – de intensiteit van zijn controle varieert en daarmee de omvang van de beoordelingsmarge van de staat.

(106) – Zie EHRM, arrest Z. tegen Finland van 25 februari 1997, Recueil des arrêts et décisions 1997-I.

(107) – In deze zin, Sudre, F., t.p.a., blz. 219. Zie eveneens Wachsmann, P., „Le droit au secret de la vie privée”, in Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme , Sudre, S. (uitg.), Bruylant, 2005, blz. 141: naar aanleiding van het zojuist genoemde arrest Z. tegen Finland wijst de auteur erop, dat de toetsing van de noodzaak van de inmenging in het voorliggende geval zeer strikt was uitgeoefend, hetgeen wordt verklaard door het buitengewoon gevoelige karakter van de vraag of de seropositiviteit van een persoon aan derden mag worden geopenbaard.

(108) – Reeds aangehaald arrest Leander tegen Zweden. Leander was bewakingsagent geworden in een scheepvaartmuseum in Zweden en had zijn baan verloren als gevolg van een personeelscontrole waarbij geheime informatie over hem was verzameld die tot de conclusie leidde dat hij niet werkzaam kon zijn in een museum waarvan verschillende opslagplaatsen zich in een verboden militair gebied bevonden. Aan de hand van deze zaak heeft het EHRM uitdrukkelijk het principe bevestigd dat zowel het bewaren als het verstrekken van persoonsgegevens, in combinatie met de weigering om gelegenheid tot weerlegging daarvan te geven, een inbreuk vormt op de eerbiediging van het privéleven. Bij het onderzoek van de rechtvaardiging van een dergelijke inbreuk heeft de Europese rechter geoordeeld dat met het oog op de bescherming van de nationale veiligheid de verdragsstaten ongetwijfeld behoefte hebben aan wetten die de bevoegde nationale autoriteiten het recht verlenen informatie over personen te verzamelen en in geheime registers te bewaren en vervolgens daarvan gebruik te maken wanneer het erom gaat de geschiktheid van kandidaten voor belangrijke posities met het oog op die veiligheid te evalueren (§ 59). Gezien de garanties waarmee het Zweedse personeelscontrolesysteem was omkleed en de ruime beoordelingsmarge van de staat, heeft het EHRM geoordeeld dat de verwerende regering terecht kon menen dat de belangen van de nationale veiligheid in casu de voorrang hadden boven de individuele belangen van de verzoekende partij. De inmenging in Leanders privéleven was derhalve niet onevenredig, gelet op het nagestreefde legitieme doel (§ 67).

(109) – Zie EHRM, arrest Murray tegen Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300, § 47 en § 90 (NJ 1995, 509). In deze zaak kon de doelstelling van de bestrijding van het terrorisme rechtvaardigen dat door de strijdkrachten persoonlijke gegevens over de verzoekende partij werden vastgelegd. Het EHRM wees er inzonderheid op dat het niet aan hem staat zijn eigen beoordeling in de plaats te stellen van die van de nationale autoriteiten met betrekking tot de beste handelwijze op het gebied van het vervolgen van terroristische misdrijven (§ 90). Zie eveneens het reeds genoemde arrest Klass, § 49.

(110) – Volgens Ritleng, D., is er sprake van een kennelijke beoordelingsfout dan wel van een aperte misvatting, hetgeen op hetzelfde neerkomt in geval van een schending van wettelijke bepalingen die zo ernstig is dat zij in het oog springt. Hoe discretionair zij ook moge zijn, de beoordeling van de feiten geeft de communautaire instellingen niet het recht willekeurige beslissingen te nemen; door de controle op kennelijke beoordelingsfouten belet de rechter dat van de beoordelingsvrijheid een fundamenteel onjuist gebruik wordt gemaakt. Zie „Le contrôle de la légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes”, op 24 januari 1998 aan de Universiteit Robert Schuman te Straatsburg verdedigde dissertatie, blz. 538, punt 628.

(111) – Zie, op het gebied van het gemeenschappelijk landbouwbeleid, arrest Hof van 13 november 1990, Fedesa e.a. (C‑331/88, Jurispr. blz. I‑4023, punt 14). Zie eveneens, op het gebied van antidumpingrechten, arrest Gerecht van 5 juni 1996, NMB France e.a./Commissie (T‑162/94, Jurispr. blz. II‑427, punt 70).

(112) – Zie, op het gebied van het gemeenschappelijk landbouwbeleid, arrest Hof van 5 oktober 1994, Duitsland/Raad (C‑280/93, Jurispr. blz. I‑4973, punt 91). Deze rechtspraak strekt zich uit tot andere gebieden, bijvoorbeeld de sociale politiek, waar het Hof heeft erkend dat de Raad „een ruime beoordelingsbevoegdheid [heeft] op een gebied waarop van de wetgever [...] sociale beleidskeuzen en complexe beoordelingen worden verlangd” (arrest Verenigd Koninkrijk/Raad, reeds aangehaald, punt 58). Ik wijs er eveneens op dat op het gebied van de toegang van het publiek tot documenten van communautaire instellingen, en betreffende de omvang van de rechterlijke controle op de wettigheid van een weigeringsbeschikking, het Gerecht aan de Raad een ruime beoordelingsmarge heeft toegekend in het kader van een weigeringsbeschikking gebaseerd op de bescherming van het algemeen belang op het gebied van de internationale betrekkingen of op de bescherming van het algemeen belang op het gebied van de openbare veiligheid. Zie inzonderheid op het gebied van de bestrijding van het terrorisme, arrest Gerecht van 26 april 2005, Sison/Raad (T‑110/03, T‑150/03 en T-405/03, Jurispr. blz. II‑1429, punten 46, en 71-82).

(113) – Naast het arrest Verenigd Koninkrijk/Raad, reeds aangehaald, zijn er talrijke voorbeelden waarin de communautaire rechter de complexe aard van de beoordelingen die door de communautaire instellingen moeten worden gemaakt, heeft erkend: zie met name op het gebied van de vrijheid van vestiging, arrest van 13 mei 1997, Duitsland/Parlement en Raad (C‑233/94, Jurispr. blz. I‑2405, punt 55). Zie, voor een voorbeeld van de erkenning door het Gerecht van een „afweging van economische en sociale gegevens” arrest van 13 september 1995, TWD/Commissie (T‑244/93 en T‑486/93, Jurispr. blz. II‑2265, punt 82).

(114) – Zo had de Commissie bijvoorbeeld naar mijn mening een ruime beoordelingsbevoegdheid bij de beantwoording van de vraag of, in het specifieke kader van de doorgifte van PNR-gegevens, de Verenigde Staten een passend beschermingsniveau van die persoonsgegevens konden verzekeren.

(115) – Volgens de Commissie voert de PNR-regeling een specifieke oplossing voor een specifiek probleem in [...]. De Gemeenschap en de Verenigde Staten hebben volgens haar namelijk onderhandeld over een gesloten gegevensbeschermingssysteem dat eigen is aan het CBP, zich onderscheidt van het Amerikaanse systeem en waarvoor bijkomende administratieve garanties van Amerikaans toezicht en Europees administratief en wettelijk toezicht gelden (punt 13 van haar opmerkingen over de memorie van tussenkomst van de ETGB in zaak C‑318/04).

(116) – Ik herinner eraan dat het de gegevenselementen nrs. 19. „Algemene opmerkingen”; 26. OSI-informatie (‘Other Service Information’)”, en 27. „SSI/SSR-informatie (‘Special Service Request’)” betreft.

(117) – Zie punten 20 en 21 van de opmerkingen van de Commissie over de memorie van tussenkomst van de ETGB in zaak C‑318/04.

(118) – In voetnoot 7 bij de verbintenissenverklaring wordt eveneens gepreciseerd dat wanneer het PNR-document wordt overgedragen naar een bestand met gewiste documenten, het wordt opgeslagen als onbewerkte gegevens die niet gemakkelijk zijn terug te zoeken en derhalve niet kunnen worden gebruikt voor „traditionele” opsporing.

(119) – Zie de punten 8, sub d, en 10 van overeenkomst nr. 108, alsmede artikel 22 van richtlijn 95/46.

(120) – Zie punt 36 van de verbintenissenverklaring, dat luidt als volgt:

„Het CBP zal de reizigers informatie verstrekken over de eisen inzake PNR en de aan het gebruik ervan gerelateerde kwesties (algemene informatie over de bevoegdheid op grond waarvan de gegevens worden verzameld, doel van de verzameling, gegevensbescherming, uitwisseling van gegevens, identiteit van de verantwoordelijke ambtenaar, beschikbare beroepsprocedures en contactadressen voor personen met vragen over problemen enz., om op de website van het CBP te plaatsen, in reisbrochures af te drukken enz.)”.

(121) – Het betreft de Freedom of Information Act (titel 5, sectie 552, van de United States Code; hierna: „FOIA”). Wat de documenten van het CBP betreft, dienen deze bepalingen van de FOIA te worden gelezen in samenhang met titel 19, secties 103.0 e.v. van de Code of Federal Regulations.

(122) – Volgens de FOIA moet elk document van de federale regering geacht worden ter beschikking van iedereen te moeten worden gesteld. De betreffende regeringsinstantie is echter niet gebonden aan deze openbaarmakingsplicht wanneer zij aantoont dat de verlangde informatie deel uitmaakt van een categorie inlichtingen die niet onder deze verplichting valt. In dit opzicht wijs ik erop dat punt 37 van de verbintenissenverklaring bepaalt: „In geval van een [betrokkene] zal het feit dat het CBP PNR-gegevens over het algemeen als vertrouwelijke persoonlijke informatie over de betrokkene en als vertrouwelijke commerciële informatie van de luchtvaartmaatschappij beschouwt, door het CBP niet worden aangevoerd als reden om de betrokkene overeenkomstig de FOIA PNR-gegevens te onthouden.”

(123) – Cursivering van mij. Punt 38 van de verbintenissenverklaring verwijst in dit verband naar titel 5, sectie 552, a, 4, B, United States Code alsmede naar titel 19, sectie 103.7-103.9 Code of Federal Regulations. Uit deze bepalingen volgt dat het beroep in rechte („judicial review”) tegen de afwijzing door het CBP van een verzoek om openbaarmaking moet worden voorafgegaan door een administratief beroep bij de FOIA Appeals Officer (titel 19, sectie 103.7 Code of Federal Regulations). Wanneer de weigering tot openbaarmaking na afloop van dit administratieve beroep in stand blijft, kan de verzoeker vervolgens beroep instellen bij een federaal District Court, dat bevoegd is om de openbaarmaking van alle informatie die ten onrechte door een overheidsinstantie is geweigerd, te bevelen.

(124) – In hetzelfde punt wordt het adres van de „Assistant Commissioner” vermeld.

(125) – Zijn adres is vermeld in punt 41 van de verbintenissenverklaring.

(126) – Zie in deze zin lid 5 van sectie 222 van de Amerikaanse wet van 2002 over de binnenlandse veiligheid (Homeland Security Act – Public Law, 107-296 van 25 november 2002), die bepaalt dat de Chief Privacy Officer ieder jaar bij het Congres een verslag moet indienen over de activiteiten van het ministerie van Binnenlandse Veiligheid die van invloed zijn op de bescherming van het privéleven, onder vermelding van eventuele klachten over inbreuken op het privéleven.

(127) – Zie voetnoot 11 bij de verbintenissenverklaring, waaruit volgt dat de Chief Privacy Officer „onafhankelijk [is] van alle directoraten binnen het Department of Homeland Security. Zij is wettelijk verplicht erop toe te zien dat persoonlijke informatie wordt gebruikt overeenkomstig de relevante wetgeving [...]. De besluiten van de Chief Privacy Officer zijn bindend voor het Department en kunnen om politieke redenen niet teniet worden gedaan”. Ik wijs er verder op dat het vereiste betreffende de mogelijkheid om beroep in te stellen bij een onafhankelijk orgaan met beslissingsbevoegdheid met name voortvloeit uit het arrest van het EHRM van 7 juli 1989, Gaskin tegen Verenigd Koninkrijk (serie A nr. 160, § 49). Ik merk eveneens op dat artikel 8 van het Handvest van de grondrechten van de Europese Unie in lid 3 bepaalt dat „[e]en onafhankelijke autoriteit” toeziet op de naleving van deze regels.

(128) – Zie bijvoorbeeld arrest van 29 februari 1996, België/Commissie (C‑56/93, Jurispr. blz. I‑723, punt 86).

(129) – Arresten van 27 september 1988, Griekenland/Raad (204/86, Jurispr. blz. 5323, punt 16), en 30 maart 1995, Parlement/Raad (C‑65/93, Jurispr. blz. I‑643, punt 23).

(130) – Advies van 13 december 1995 (Jurispr. blz. I‑4577) naar aanleiding van een verzoek van de Bondsrepubliek Duitsland inzake de verenigbaarheid met het Verdrag van de kaderovereenkomst ter zake van bananen tussen de Europese Gemeenschap en Colombia, Costa Rica, Nicaragua en Venezuela.

(131) – Punt 21 van het advies (cursivering van mij).

(132) – Punt 22 van het advies.

Top