Sager ved EU-domstolen

Få overblikket over både verserende og afgjorte sager på databeskyttelsesområdet.

Retssager ved EU-Domstolen

I de senere år har EU-Domstolen truffet en lang række afgørelser, der præciserer eller angiver en ny fortolkning databeskyttelsesreglerne. Det vil også være EU-Domstolen, der foretager den endelige fortolkning af databeskyttelsesforordningen og retshåndhævelsesdirektivet.

EU-Domstolen, der således er centralt placeret i persondataretten, består af én dommer for hver af EU's medlemsstater. De 28 dommere udnævnes efter fælles overenskomst af medlemsstaternes regeringer for en periode på 6 år med mulighed for genudnævnelse. Herudover består domstolens medlemmer af 9 særlige generaladvokater, som de enkelte medlemsstater udnævner efter en fast rotationsordning. Generaladvokaterne har til opgave helt upartisk og uafhængigt at komme med forslag til, hvordan EU-Domstolen skal afgøre en sag. Dommerne er ikke bundet af generaladvokatens forslag, men da generaladvokaten har samme baggrund og stilles over for samme juridiske opgave som dommerne, er generaladvokatens forslag som regel et kvalificeret bud på den endelige afgørelse i sagen. De fleste gange følger EU-Domstolen således generaladvokatens forslag.

EU-Domstolen dømmer i flere forskellige typer af sager. Hvis EU-Kommissionen f.eks. vurderer, at en medlemsstat bryder EU-retten, kan EU-Kommissionen indbringe staten for EU-Domstolen og starte en såkaldt traktatkrænkelsessag. En anden type sag er, når medlemsstaternes domstole indbringer såkaldte præjudicielle spørgsmål for EU-Domstolen, hvis de er i tvivl om, hvordan en EU-regel skal fortolkes i en konkret sammenhæng, eller hvorvidt den overhovedet er gyldig. Den nationale sag vil i så fald afvente, at EU-Domstolen kommer med sit svar. Nationale domstole er efterfølgende forpligtet til at tage højde for EU-Domstolens præjudicielle afgørelse i lignende sager. Herudover kan EU-Domstolen fastslå, at en EU-regel skal annulleres, hvis den er i strid med traktaten eller andre EU-regler. Denne type af sager kaldes annullationssøgsmål.

Datatilsynet vedligeholder løbende de to oversigter over henholdsvis verserende og afgjorte sager ved EU-Domstolen. Oversigterne indeholder en kort beskrivelse af, hvad de enkelte sager omhandler.

Oversigt

Verserende sager

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet verserer ved EU-Domstolen, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 25. august 2021.

Oversigt

Afgjorte sager

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet er afgjort ved EU-Domstolen fra og med 2019, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 25. august 2021.

Sagsøgere i hovedsagen:

Ligue des droits humains

Sagsøgte i hovedsagen:

Conseil des ministres

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) 1 , sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom lov af 25. december 2016 om behandling af passageroplysninger, som gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet 2 samt Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer 3 og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF 4 ?
  • Er bilag I til direktiv 2016/681 (EU) foreneligt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i bilag I til direktiv 2016/681, og som er mere vidtrækkende end de oplysninger, der er omhandlet i artikel 3, stk. 2, i direktiv 2004/82 – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det »strengt nødvendige«?
  • Er punkt 12 og 18 i bilag I til direktiv (EU) 2016/681 forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri omhandlede oplysninger henset til udtrykket »herunder« er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?
  • Er artikel 3, nr. 4), i direktiv (EU) 2016/681 og bilag I til dette direktiv forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?
  • Skal artikel 6 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?
  • Er artikel 6 i direktiv (EU) 2016/681 forenelig med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?
  • Kan begrebet »anden [kompetent] national myndighed« i artikel 12, stk. 3, i direktiv (EU) 2016/681 fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved lov af 25. december 2016, og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?
  • Skal artikel 12 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?

a) Er direktiv 2004/82/EF foreneligt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?

b) Skal direktiv 2004/82/EF, sammenholdt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?

  • Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører direktiv (EU) 2016/681, er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af lov af 25. december 2016 om behandling af passageroplysninger med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Status

Der er blevet indkaldt til mundtlig forhandling den 13. juli 2021.

Den 14. juli 2021 indkaldte domstolen til fremsættelse af forslag til afgørelse den 9. december 2021.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

OT

Sagsøgte i hovedsagen:

Vyriausioji tarnybinės etikos komisija (den centrale etiske kommission)

Faktum i hovedsagen:

Offentligt ansatte personers pligt til i henhold til national ret at angive private interesser. Offentliggørelsen af oplysninger vedrørende erklæringer på internettet. Eventuel tilsidesættelse af retten til respekt for privatlivet.

De præjudicielle spørgsmål:

  • Skal den betingelse, der er fastsat i forordningens artikel 6, stk. 1, litra e), hvorefter behandling skal være nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, henset til kravene i forordningens artikel 6, stk. 3, herunder kravet om, at medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges, og ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af private interesser og disse erklæringers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija (den øverste etiske kommission), hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?
  • Skal forbuddet mod behandling af særlige kategorier af personoplysninger i forordningens artikel 9, stk. 1, under hensyntagen til de betingelser, der er fastsat i forordningens artikel 9, stk. 2, herunder betingelsen i denne bestemmelses litra g), om at behandling skal være nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og stå i rimeligt forhold til det mål, der forfølges, skal respektere det væsentligste indhold af retten til databeskyttelse og sikre passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser, ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af oplysninger vedrørende erklæringer om private interesser, der kan videregive personoplysninger, herunder oplysninger, som giver mulighed for at fastslå en persons politiske holdninger, fagforeningsmæssige tilhørsforhold, seksuelle orientering og andre personlige oplysninger, og disse oplysningers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija, hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

X, Y

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

I hovedsagen er spørgsmålet, om sagsøgte »Autoriteit Persoonsgegevens«, der er den nederlandske tilsynsmyndighed i henhold til artikel 51 i den generelle forordning om databeskyttelse (herefter den generelle databeskyttelsesforordning), er beføjet til at afgøre spørgsmålet, om den omstændighed, at afdelingen for forvaltningsretssager ved Raad van State (øverste domstol i forvaltningsretlige sager) giver journalister aktindsigt i procesdokumenter, er i overensstemmelse med den generelle databeskyttelsesforordning.

De præjudicielle spørgsmål:

  • Skal artikel 55, stk. 3, i den generelle databeskyttelsesforordning fortolkes således, at der ved »domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«, kan forstås den omstændighed, at en domstol giver aktindsigt i procesdokumenter, der indeholder personoplysninger, hvorved aktindsigten sker ved, at der stilles kopier af procesdokumenterne til rådighed for en journalist, således som det er beskrevet i nærværende forelæggelsesafgørelse?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om den nationale tilsynsmyndigheds udøvelse af tilsyn med denne form for databehandling i konkrete sager berører domstolenes uafhængighed ved beslutningstagningen?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, at arten af og formålet med databehandlingen ifølge den pågældende retsinstans er at informere en journalist for at sætte denne i stand til at give en bedre dækning af det offentlige retsmøde i et retssag, og det således tilstræbes at tjene hensynet til offentlighed og gennemsigtighed vedrørende retspraksis?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om databehandlingen beror på en udtrykkelig nationalretlig hjemmel?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Den 3. juni 2021 indkaldte domstolen til mundtlig forhandling den 14. juli 2021.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bundesverband der Verbraucherzentralen og Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, i forordning (EU) 2016/679 til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af forordning (EU) 2016/679, uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Den 2. juli 2021 indkaldte domstolen til mundtlig forhandling den 23. september 2021.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

TU

RE

Sagsøgte i hovedsagen:

Google LLC

Faktum i hovedsagen:

Der er tale om en anmodning om fjernelse af bestemte links til en tredjeparts online-artikler, som gør det muligt at identificere sagsøgerne og delvist er illustreret med billeder af disse, og om undladelse af at vise disse billeder som såkaldte miniaturebilleder (»thumbnails«).

De præjudicielle spørgsmål:

  • Er det foreneligt med den registreredes ret til respekt for sit privatliv (artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder, EUT C 202 af 7.6.2016, s. 389) og til beskyttelse af personoplysninger, der vedrører den pågældende (chartrets artikel 8), hvis der ved den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som i henhold til artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT L 119 af 4.5.2016, s. 1) skal foretages i forbindelse med en prøvelse af vedkommendes anmodning til den dataansvarlige for en internetsøgetjeneste om fjernelse af links, i en situation, hvor det link, som anmodningen om fjernelse vedrører, leder til indhold, som indeholder erklæringer om fakta og værdidomme baseret på erklæringer om fakta, hvis sandhed bestrides af den registrerede, og hvor indholdets lovlighed afhænger af sandhedsværdien af de deri indeholdte erklæringer om fakta, også lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen og dermed nå en i det mindste foreløbig afklaring af spørgsmålet om sandhedsværdien af det indhold, som den søgemaskineansvarlige formidler?
  • Skal der i tilfælde af en anmodning om fjernelse af links til den dataansvarlige for en internetsøgetjeneste, som ved en navnesøgning søger efter billeder af fysiske personer, som tredjeparter har lagt ud på internettet i sammenhæng med personens navn, og som viser de fundne billeder som miniaturebilleder (»thumbnails«) i sin resultatoversigt, i forbindelse med den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som skal foretages i henhold til artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet, EFT L 281 af 23.11.1995, s. 31) / artikel 17, stk. 1, litra a), i den generelle forordning om databeskyttelse tages afgørende hensyn til konteksten for tredjepartens oprindelige offentliggørelse, også når der ved søgemaskinens visning af miniaturebilledet ganske vist linkes til tredjepartens webside, men denne ikke konkret nævnes, og internetsøgetjenesten ikke også viser den kontekst, der fremgår af websiden?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

 

 

 

 

Sagsøgere i hovedsagen:

Leistritz AG

Sagsøgte i hovedsagen:

LH

Faktum i hovedsagen:

Sagsøger var tidligere ansat som teamleder og udpeget som databeskyttelsesrådgiver hos sagsøgte, der er en privatretligt organiseret virksomhed. Sagen omhandler parternes uenighed om gyldigheden af en ordinær opsigelse af ansættelsesforholdet imellem dem.

De præjudicielle spørgsmål:

  • Skal artikel 38, stk. 3, andet punktum, i forordning (EU)2016/679 (generel forordning om databeskyttelse, herefter »forordning 2016/679«) fortolkes således, at denne bestemmelse er til hinder for en bestemmelse i national lovgivning, i den foreliggende sag § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4,andet punktum, i Bundesdatenschutzgesetz (den tyske forbundslov om databeskyttelse, BDSG), hvorefter den dataansvarliges ordinære opsigelse af databeskyttelsesrådgiverens ansættelsesforhold, idet den dataansvarlige er dennes arbejdsgiver, er ulovlig, uafhængigt af, om opsigelsen skyldes udførelsen af dennes opgaver?

  • Såfremt det første spørgsmål besvares bekræftende: 2. Er artikel 38, stk. 3, andet punktum, i forordning 2016/679 også til hinder for en sådan bestemmelse i national lovgivning, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til artikel 37, stk. 1, i forordning 2016/679, men kun i henhold til medlemsstatens lovgivning?

  • Såfremt det første spørgsmål besvares bekræftende: 3. Hviler artikel 38, stk. 3, andet punktum, i forordning 2016/679 på et tilstrækkeligt bemyndigelsesgrundlag, navnlig for så vidt som denne bestemmelse omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Verein für Konsumenteninformation

Sagsøgte i hovedsagen:

Avis Autovermietung Gesellschaft mbH

De præjudicielle spørgsmål:

  • Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT L 119/1 af 4.5.2016, s. 1) til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af forordning (EU) 2016/679, uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Domstolens præsident har udsat sagen indtil domsafsigelse i sag C-319/20.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

Faktum i Hovedsagen:

Tvisten mellem parterne drejer sig om, hvorvidt der ved indførelse af livestreamundervisning ved hjælp af videokonferencesystemer foruden forældrenes samtykke for deres børn eller myndige elevers samtykke også kræves samtykke fra den pågældende lærer, eller om den databehandling, der sker i denne forbindelse, er omfattet af § 23, stk. 1, første punktum, i Hessens lov om databeskyttelse og informationsfrihed (»HDSIG«), samt spørgsmålet om, hvorvidt der i henhold til de relevante regler for medarbejderrepræsentation i delstaten Hessen foreligger en medbestemmelsesret eller kun en ret til inddragelse.

HDSIG’s § 23 og § 86 i Hessens tjenestemandslov (»HBG«) er ifølge lovgivers vilje en mere specifik bestemmelse som omhandlet i artikel 88, stk. 1, i forordningen.

De præjudicielle spørgsmål:

  • Skal artikel 88, stk. 1 i forordningen, fortolkes således, at en bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i artikel 88, stk. 1, i forordning skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til artikel 88, stk. 2, i forordning?
  • Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til artikel 88, stk. 2 i forordning alligevel fortsat finde anvendelse?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digi Távközlési és Szolgáltató Kft.

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

  • Skal begrebet »formålsbegrænsning« som defineret i artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter »forordningen«) fortolkes således, at det er i overensstemmelse hermed, at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål, eller er det begrænsede legitime formål med dataindsamlingen, for så vidt angår den parallelle database, ikke længere gyldigt?
  • Såfremt det første præjudicielle spørgsmål besvares således, at den parallelle opbevaring af oplysninger i sig selv er uforenelig med princippet om »formålsbegrænsning«, er det da foreneligt med princippet om »opbevaringsbegrænsning«, der er fastsat i forordningens artikel 5, stk. 1, litra e), at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Appellant:

Proximus NV

Indstævnt:

Gegevensbeschermingsautoriteit

De præjudicielle spørgsmål:

  • Skal artikel 12[, stk. 2], i e-databeskyttelsesdirektivet 2002/58/EF, sammenholdt med dette direktivs artikel 2, [litra f),] og med artikel 95 i den generelle forordning om databeskyttelse, fortolkes således, at det er tilladt for en national tilsynsmyndighed et kræve et »samtykke« fra abonnenten i den generelle forordnings forstand som grundlag for at kunne offentliggøre dennes personoplysninger i offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, såvel dem der offentliggøres af operatøren selv som dem, der offentliggøres af andre udbydere, når den nationale lovgivning på området ikke bestemmer andet?
  • Skal retten til sletning i henhold artikel 17 i den generelle forordning om databeskyttelse fortolkes således, at denne ret er til hinder for, at en national tilsynsmyndighed kvalificerer en anmodning fra en abonnent om at blive fjernet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en anmodning om sletning som omhandlet i artikel 17 i den generelle forordning om databeskyttelse?
  • Skal artikel 24 og artikel 5[, stk. 2], i den generelle forordning om databeskyttelse fortolkes således, at de er til hinder for, at en national tilsynsmyndighed af det der forankrede ansvarlighedsprincip udleder, at den dataansvarlige skal træffe passende tekniske og organisatoriske forholdsregler for at det meddeles andre dataansvarlige, det vil sige udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som har modtaget data fra denne dataansvarlige, at den pågældende i henhold til forordningens artikel 6, jf. artikel 7, har trukket sit samtykke tilbage?
  • Skal artikel 17[, stk. 2,] i den generelle forordning om databeskyttelse fortolkes således, at den er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som anmodes om ikke længere at offentliggøre en persons data, at træffe alle rimelige foranstaltninger til, at søgemaskiner får kendskab til denne anmodning om sletning?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

BE

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

  • Skal artikel 77, stk. 1, og artikel 79, stk. 1, i [forordning 2016/679] fortolkes således, at den administrative klageadgang, der er fastlagt i artikel 77, udgør et instrument til udøvelse af offentlige rettigheder, mens den søgsmålsret, der er fastlagt i artikel 79, udgør et instrument til udøvelse af private rettigheder? Såfremt dette spørgsmål besvares bekræftende, følger det da deraf, at tilsynsmyndigheden, som det påhviler at påkende administrative klager, har den overordnede kompetence til at fastslå, at der foreligger en overtrædelse?
  • Såfremt den registrerede – som er af den opfattelse, at behandlingen af personoplysninger, som vedrører den pågældende, overtræder forordning 2016/679 – på samme tid udøver retten til at indgive en klage i henhold til denne forordnings artikel 77, stk. 1, og søgsmålsretten i henhold til samme forordnings artikel 79, stk. 1, kan det da fastslås, at en fortolkning, der er i overensstemmelse med artikel 47 i chartret om grundlæggende rettigheder, indebærer:
    1. at tilsynsmyndigheden og retten uafhængigt af hinanden er forpligtede til at undersøge, om der foreligger en overtrædelse, og at de derfor kan nå til uoverensstemmende resultater, eller
    2. at tilsynsmyndighedens afgørelse har forrang, for så vidt som den vedrører vurderingen af, om der er begået en overtrædelse, i betragtning af de kompetencer, der er omhandlet i artikel 51, stk. 1, i forordning 2016/679, og de beføjelser, der er tillagt ved samme forordnings artikel 58, stk. 2, litra b) og d)?
  • Skal tilsynsmyndighedens uafhængighed, som er sikret ved artikel 51, stk. 1, og artikel 52, stk. 1, i forordning 2016/679, fortolkes således, at den pågældende myndighed ved behandlingen og afgørelsen af den klageprocedure, der er fastlagt i artikel 77, er uafhængig af, hvad den kompetente ret fastslår ved endelig dom i henhold til artikel 79, således at den pågældende myndighed kan vedtage en uoverensstemmende afgørelse med hensyn til den samme hævdede overtrædelse?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

RW

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

  • Skal artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119 […], s. 1 […]) fortolkes således, at retten til adgang er begrænset til oplysninger om kategorier af modtagere, såfremt konkrete modtagere ved planlagte videregivelser endnu ikke ligger fast, men at denne ret nødvendigvis også omfatter modtagere af disse videregivelser, når der allerede er blevet videregivet oplysninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

VS

Sagsøgte i hovedsagen:

Inspektor v Inspektorata kam Visshia sadeben savet

De præjudicielle spørgsmål:

  • Skal artikel 1, stk. 1, i [direktiv 2016/680] fortolkes således, at begreberne »forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger« i forbindelse med angivelsen af formålet opregnes som aspekter af et generelt formål?
  • Finder bestemmelserne i [forordning 2016/679] anvendelse på Republikken Bulgariens anklagemyndighed, henset til det forhold, at oplysninger om en person, som anklagemyndigheden i sin egenskab af »dataansvarlig« som omhandlet i artikel 3, nr. 8), i [direktiv 2016/680] har indsamlet til en aktmappe om denne person med henblik på at undersøge, om der er grundlag for at antage, at der foreligger en strafbar handling, er blevet anvendt som en del af anklagemyndighedens retlige forsvar som part i en civil sag – idet det anføres, at denne aktmappe er blevet oprettet, eller idet dens indhold fremlægges?
    • Såfremt dette spørgsmål besvares bekræftende:                                                                                                                                                                                                                                                                                      Skal udtrykket »legitim interesse« i artikel 6, stk. 1, litra f), i [forordning 2016/679] fortolkes således, at det omfatter en fuldstændig eller delvis videregivelse af oplysninger om en person, som er blevet indsamlet af anklagemyndigheden til en aktmappe om denne person med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, når denne videregivelse sker som led i den dataansvarliges forsvar som part i en civil sag, og er den registreredes samtykke udelukket?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

Facebook Inc.

Facebook Ireland Ltd.

Facebook Deutschland GmbH

Sagsøgte i hovedsagen:

Bundeskartellamt

De præjudicielle spørgsmål:

1.

a) Er artikel 51 ff. i forordning nr. 2016/679 til hinder for, at en national kartelmyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet artikel 51 ff. i forordning nr. 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning nr. 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?

b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som [org. s. 3] omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det første spørgsmål besvares bekræftende:

2.

a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning nr. 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?

b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning nr. 2016/679?

3.

Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning nr. 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og [org. s. 4] fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?

4.

Kan også

– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikkemarkedsføringsmæssig kommunikation med brugeren,

– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,

– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,

– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,

– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd, i en sådan

situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.comkonto og anvender dem?

5.

Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede [org. s. 5] i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning nr. 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?

6.

Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning nr. 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning nr. 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?

Såfremt det første spørgsmål besvares benægtende:

7.

a) Kan en national kartelmyndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning nr. 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning nr. 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning nr. 2016/679

b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Norra Stockholm Bygg AB

Sagsøgte i hovedsagen:

Per Nycander AB

De præjudicielle spørgsmål:

  • Stiller databeskyttelsesforordningens 1 artikel 6, stk. 3 og 4, også krav til national processuel lovgivning om editionspligt?
  • Såfremt det første spørgsmål besvares bekræftende, indebærer databeskyttelsesforordningen da, at der ved bedømmelse af spørgsmålet, om der skal træffes bestemmelse om edition af et dokument, der indeholder personoplysninger, også skal tages hensyn til de registreredes interesser? Stiller EU-retten i dette tilfælde nogen krav til den måde, hvorpå denne bedømmelse nærmere skal foretages?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UI

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

Er det en forudsætning for at kunne tilkende erstatning i henhold til artikel 82 i forordning [EU] 2016/679, at det ud over at det fastslås, at bestemmelser i den generelle forordning om databeskyttelse er overtrådt, også konstateres, at sagsøgeren har lidt en skade, eller er selve overtrædelsen af bestemmelser i den generelle forordning om databeskyttelse nok til at kunne tilkende en erstatning?

Opstiller EU-retten for så vidt angår fastsættelse af erstatningen også andre bestemmelser end effektivitetsprincippet og ækvivalensprincippet?

Er det foreneligt med EU-retten at lægge til grund, at det er en forudsætning for at tilkende erstatning for immateriel skade, at en konsekvens eller følge af overtrædelsen i det mindste har en vis betydning, der går videre end den vrede, som overtrædelsen har udløst?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

VB

Sagsøgte i hovedsagen:

Natsionalna agentsia za prihodite (det nationale agentur for indtægter)

De præjudicielle spørgsmål:

1.Skal artikel 24 og 32 i forordning (EU) nr. 2016/579 fortolkes således, at det forhold, at en uautoriseret videregivelse eller en uautoriseret adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 er blevet foretaget af personer, som ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, er tilstrækkeligt til at lægge til grund, at de iværksatte tekniske og organisatoriske foranstaltninger ikke er passende?

2. Såfremt det første spørgsmål besvares benægtende, hvilken genstand og hvilket omfang skal rettens legalitetskontrol da have ved vurderingen af, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet som omhandlet i artikel 32 i forordning (EU) nr. 2016/679, er passende?

3. Såfremt det første spørgsmål besvares benægtende, skal ansvarlighedsprincippet som omhandlet i artikel 5, stk. 2, og artikel 24 i forordning (EU) nr. 2016/679, sammenholdt med 74. betragtning hertil, da fortolkes således, at bevisbyrden for, at de iværksatte tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i forordning (EU) nr. 2016/679 er passende, påhviler den dataansvarlige i forbindelse med et søgsmål i henhold til forordningens artikel 82, stk. 1? Kan indhentningen af en sagkyndig udtalelse anses for et bevismiddel, der er nødvendigt for og tilstrækkeligt til at fastslå, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet, i en sag som den foreliggende var passende, hvis den uautoriserede adgang til og den uautoriserede videregivelse af personoplysninger skyldtes et »hackerangreb«?

4. Skal artikel 82, stk. 3, i forordning (EU) nr. 2016/679 fortolkes således, at den uautoriserede videregivelse af eller den uautoriserede adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 som i den foreliggende sag gennem et »hackerangreb« udført af personer, der ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, udgør en omstændighed, som den dataansvarlige ikke er skyld i, og som kan begrunde en fritagelse for erstatningsansvar?

5. Skal artikel 82, stk. 1 og 2, i forordning (EU) nr. 2016/679, sammenholdt med 85. og 146. betragtning hertil, fortolkes således, at det i en sag som den foreliggende, hvor tilsidesættelsen af beskyttelsen af personoplysninger kommer til udtryk ved en uautoriseret adgang til og formidling af personoplysninger gennem et »hackerangreb«, kun er den berørte persons bekymringer, frygt og angst for et muligt fremtidigt misbrug af personoplysninger, der er omfattet af begrebet immateriel skade, som skal fortolkes bredt, og dermed berettiger til erstatning, hvis der ikke er blevet konstateret et sådant misbrug og/eller den berørte person ikke er blevet påført nogen yderligere skade?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Komisia za zashtita na lichnite danni og Tsentralna isbiratelna komisia

Sagsøgte i hovedsagen:

Koalitsia »Demokratichna Bulgaria – Оbedinenie« 

De præjudicielle spørgsmål:

1. Skal artikel 2, stk. 2, litra a), i den generelle forordning om databeskyttelse 1 fortolkes således, at den er til hinder for, at denne forordning anvendes på et tilsyneladende internt anliggende såsom gennemførelsen af valg til nationalforsamlingen, hvis genstanden for beskyttelsen er personoplysninger om personer – borgere i Den Europæiske Union – og behandlingen af oplysningerne ikke er begrænset til indsamling af oplysninger i forbindelse med den pågældende aktivitet?

2. Såfremt det første spørgsmål besvares bekræftende: Fritager afslutningen af gennemførelsen af valgene til nationalforsamlingen, som tilsyneladende ikke er omfattet af EU-rettens anvendelsesområde, de ansvarlige, registerførerne og de personer, der opbevarer personoplysninger, fra deres forpligtelser i henhold til forordningen, som er det eneste middel til beskyttelse af EU-borgernes personoplysninger på EU-niveau? Afhænger forordningens anvendelighed alene af den aktivitet, hvortil personoplysningerne er blevet tilvejebragt eller indsamlet, idet dette også fører til den konklusion, at den ikke finder anvendelse senere?

3. Såfremt det første spørgsmål besvares benægtende: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, ikke tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

4. Alternativt og i forbindelse med EU-rettens anvendelsesområde – ved gennemførelsen af kommunalvalg og valg til Europa-Parlamentet: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, hverken foretager eller blot tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

5. Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse til hinder for, at aktiviteter vedrørende kontrol af den retmæssige gennemførelse af afholdte valg og registreringen af resultaterne heraf kvalificeres som udførelse af en opgave i samfundets interesse, der berettiger et specifikt indgreb, som er underlagt proportionalitetsprincippet, vedrørende personoplysningerne om de personer, der er tilstede i valglokalerne, såfremt disse personer udfører en officiel, offentlig og lovfastsat opgave?

6 Såfremt det femte spørgsmål besvares bekræftende: Er beskyttelsen af personoplysninger til hinder for indførelsen af et nationalt retligt forbud mod indsamling og behandling af personoplysninger, som begrænser muligheden for at foretage sideløbende aktiviteter vedrørende videooptagelse af materialer, objekter eller genstande, der ikke indeholder personoplysninger, hvis registreringsprocessen potentielt indebærer en mulighed for, at der også indsamles personoplysninger ved videooptagelsen af personer, der er tilstede i valglokalet og på det pågældende tidspunkt udfører en aktivitet i samfundets interesse? 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

  • Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
  • Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
  • Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
  • Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
  • Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
  • Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
  • Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
  • Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
  • Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
  • Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

 

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

  • Artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning 2016/679 skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union ved denne forordning, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Den Europæiske Union, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

  • Artikel 58, stk. 2, litra f) og j), i forordning 2016/679 skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Europa-Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig denne forordnings artikel 45 og 46 og chartret om grundlæggende rettigheder, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

  • Undersøgelsen af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016, i lyset af artikel 7, 8 og 47 i chartret om grundlæggende rettigheder har intet frembragt, der kan påvirke gyldigheden af denne afgørelse.

  • Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

  • Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  •  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

  • Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?
  • Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?
  • Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?
  • Over for hvem skal samtykket erklæres?
  • Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

  • Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.
  • En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.
  • Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  • Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.
  • Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.
  • Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.
  • Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

  • Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?
  • Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?
  • Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?
  • Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?
  • Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

  • Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?
  • Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?
  • Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.
  • I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.
  • Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
  2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
    Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
    Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
  3. Bestemmelserne i direktiv 95/46 skal fortolkes således
    • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
    • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

  • Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.
  • Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

  • Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?
  • Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 
  • Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?
  • Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

 

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
  2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
  3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret
  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og
  • pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

 

Link til dommen på EU-Domstolens hjemmeside.

 

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

  • Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?
  • Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

  • Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?
  • Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?
  • Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?
  • Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

  • Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Privacy International

Sagsøgte i hovedsagen:

Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service Srl og Secret Intelligence Service (UK)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Investigatory Powers Tribunal — London (UK). Sagsøgte mener, at massindsamling af data er afgørende for beskyttelsen af den national sikkerhed, herunder som led i bekæmpelse af terrorisme, kontraspionage og bekæmpelse af spredningen af atomvåben. Som følge af Tele2/Sverige og Watson afgørelsen er udbyderen af elektroniske kommunikationsnetværk ikke efterfølgende forpligtet til at lagre kommunikationsdata (efter det tidsrum, der stilles krav om i forbindelse med deres almindelige virksomhed), men de opbevares alene af de offentlige myndigheder (sikkerheds- og efterretningsagenturerne). Sagsøgte mener derved, at de overholder kravene i EMRK og Den Europæiske Unions Charter om grundlæggende rettigheder.

De præjudicielle spørgsmål:

  • Er en myndigheds afgørelse, om at en udbyder af et elektronisk kommunikationsnetværk skal udlevere massekommunikationsdata til en medlemsstats sikkerheds- og efterretningsagenturer, omfattet af EU-retten og e-databeskyttelsesdirektivet?
  • Hvis første spørgsmål besvares bekræftende: Finder Tele2/Sverige og Watson-kravene, eller eventuelle andre krav ud over kravene i EMRK, anvendelse på en sådan afgørelse? Hvis det er tilfældet, hvordan og i hvilket omfang finder de pågældende krav anvendelse, idet der tages højde for, at det er tvingende nødvendigt, at sikkerheds- og efterretningsagenturerne kan indsamle massekommunikationsdata og bruge automatiserede behandlingsteknikker for at beskytte den nationale sikkerhed, og for, i hvor høj grad denne mulighed, såfremt den i øvrigt er i overensstemmelse med EMRK, risikerer at blive begrænset i et kritisk omfang ved indførelsen af sådanne krav?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 4 TEU og artikel 1, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at de er til hinder for en national lovgivning, der pålægger en udbyder af elektroniske kommunikationsnet en pligt til at udlevere "bulk-kommunikationsdata" til en medlemsstats sikkerheds- og efterrefatningsagenturer, som indebærer en forudgående generel og udifferentieret indsamling".

Subsidiært:

"En medlemsstats sikkerheds- og efterretningsagenturers adgang til de data, som udbydere af elektronisk kommunikationsnet overfører, skal opfylde de betingelser, der er fastsat i dom af 21. december 2016, Tele2 Sverige og Watson (C-203/15 og C-698/15, EU:C:2016:970)".

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • "Having regard to the foregoing considerations, the answer to the first question is that Article 1(3), Article 3 and Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU, must be interpreted as meaning that national legislation enabling a State authority to require providers of electronic communications services to forward traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security falls within the scope of that directive."
  • "The answer to the second question is that Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU and Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation enabling a State authority to require providers of electronic communications services to carry out the general and indiscriminate transmission of traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security."

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i de forende hovedsager:

La Quadrature du Net, French Data Network.

Sagsøgte i de forenede hovedsager:

Den franske regering.

Faktum i de forenede hovedsager:

I EU-Domstolens dom af 21. december 2016 i de forenede sager, Tele2/Sverige og Watson, C-203/15 og C-698/15, blev det b.la. fastslået, at de nationale regler om logning var i strid med e-databeskyttelsesdirektivet sammenholdt med Den Europæiske Unions Charter om grund-læggende rettigheder, idet de medførte en generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Siden Tele2/Sverige og Watson dommen har flere medlemsstater valgt ikke at ophæve deres nationale lovgivning vedrørende lagring af trafikdata og lokaliseringsdata, men i stedet forholdt sig afventende. På baggrund af dette skal den franske Conseil D'État nu foretage afgørelse i to sager, omhandlende gyldigheden af fransk lovgivning og fortolkningen af e-databeskyttelsesdirektivet. Conseil d'État i Frankrig har i den forbindelse forelagt EU-Domstolen fem præjudicielle spørgsmål – hvoraf to er enslydende – om bl.a. fortolkningen af e-databeskyttelsesdirektivet.

De præjudicielle spørgsmål:

  • Skal en forpligtelse til generel og udifferentieret lagring, som pålægges udbyderne på grundlag af e-databeskyttelsesdirektivets artikel 15, stk. 1, i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, anses for et berettiget indgreb i retten til den personlige sikkerhed, jf. EU Chartrets art. 6, og hensynet til den nationale sikkerhed, som medlemsstaterne er eneansvarlige for i medfør af artikel 4 i traktaten om Den Europæiske Union?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det tillader lovgivningsmæssige foranstaltninger, såsom foranstaltninger med henblik på indsamling af trafik- og lokaliseringsdata i realtid, hvilket påvirker rettigheder og forpligtelser for udbydere af en elektronisk kommunikationstjeneste, men dog ikke pålægger dem en specifik forpligtelse til lagring af deres data?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det gør retmæssigheden af procedurer til indsamling af data betinget af opfyldelsen af krav om underretning af de berørte personer, når en sådan underretning ikke længere kan skade de kompetente myndigheders efterforskning, eller kan sådanne procedurer kun anses for at være retmæssige når samtlige øvrige eksisterende proceduremæssige garantier finder anvendelse, idet disse sikrer, at adgangen til retsmidler er effektiv?
  • Skal bestemmelserne i e-databeskyttelsesdirektivet sammenholdt med artikel 6, 7, 8, 11 og artikel 52, stk. 1, i EU Chartret fortolkes således, at de tillader en stat at indføre en national lovgivning, der pålægger personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester, og fysiske eller juridiske personer, der, selv vederlagsfrit, med henblik på tilrådighedsstillelse for offentligheden via offentlige onlinekommunikationstjenester varetager oplagring af signaler, skrift, billeder, lyd eller meddelelser af enhver art, der leveres af modtagere af disse tjenester, at lagre data, som vil kunne gøre det muligt at identificere enhver, der har bidraget til at skabe indholdet eller en del af indholdet af de tjenester, som de leverer, for at den retslige myndighed i påkommende tilfælde kan kræve videregivelse heraf med henblik på at sikre overholdelsen af reglerne om civil- eller strafferetligt ansvar?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

1) Bestemmelsen er til hinder for en national lovgivning, som i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, forpligter operatørerne og udbyderne af elektroniske kommunikationstjenester til at foretage en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter, samt af de data, der gør det muligt at identificere skaberne af det indhold, der leveres af udbyderne af disse tjenester.

2) Bestemmelsen er til hinder for en national lovgivning, som ikke fastsætter en pligt til at underrette de berørte personer om de kompetente myndigheders behandling af deres personoplysninger, medmindre en sådan underretning er til fare for de pågældende myndigheders efterforskning.

3) Bestemmelsen er ikke til hinder for en national lovgivning, hvorefter det er tilladt at indsamle specifikke personers trafik- og lokaliseringsdata i realtid, for så vidt som disse handlinger udføres i overensstemmelse med de fastsatte procedurer for adgang til lovligt lagrede personoplysninger og med samme garantier."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagerne, hvoraf følgende fremgår:

Ad spørgsmål 1 i sag C-511/18 og C‑512/18 og spørgsmål 1 og 2 C‑520/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding legislative measures which, for the purposes laid down in Article 15(1), provide, as a preventive measure, for the general and indiscriminate retention of traffic and location data. By contrast, Article 15(1), read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, does not preclude legislative measures that:
    • allow, for the purposes of safeguarding national security, recourse to an instruction requiring providers of electronic communications services to retain, generally and indiscriminately, traffic and location data in situations where the Member State concerned is confronted with a serious threat to national security that is shown to be genuine and present or foreseeable, where the decision imposing such an instruction is subject to effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that one of those situations exists and that the conditions and safeguards which must be laid down are observed, and where that instruction may be given only for a period that is limited in time to what is strictly necessary, but which may be extended if that threat persists;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using a geographical criterion, for a period that is limited in time to what is strictly necessary, but which may be extended;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the general and indiscriminate retention of IP addresses assigned to the source of an Internet connection for a period that is limited in time to what is strictly necessary;
    • provide, for the purposes of safeguarding national security, combating crime and safeguarding public security, for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems;
    • allow, for the purposes of combating serious crime and, a fortiori, safeguarding national security, recourse to an instruction requiring providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to undertake, for a specified period of time, the expedited retention of traffic and location data in the possession of those service providers,
  • Provided that those measures ensure, by means of clear and precise rules, that the retention of data at issue is subject to compliance with the applicable substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.

Ad spørgsmål 2 og 3 i sag C‑511/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as not precluding national rules which requires providers of electronic communications services to have recourse, first, to the automated analysis and real-time collection, inter alia, of traffic and location data and, second, to the real-time collection of technical data concerning the location of the terminal equipment used, where:
    • recourse to automated analysis is limited to situations in which a Member State is facing a serious threat to national security which is shown to be genuine and present or foreseeable, and where recourse to such analysis may be the subject of an effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that a situation justifying that measure exists and that the conditions and safeguards that must be laid down are observed; and where
    • recourse to the real-time collection of traffic and location data is limited to persons in respect of whom there is a valid reason to suspect that they are involved in one way or another in terrorist activities and is subject to a prior review carried out either by a court or by an independent administrative body whose decision is binding in order to ensure that such real-time collection is authorised only within the limits of what is strictly necessary. In cases of duly justified urgency, the review must take place within a short time.

Ad spørgsmål 2 i sag C‑512/18:

  • Directive 2000/31 must be interpreted as not being applicable in the field of the protection of the confidentiality of communications and of natural persons as regards the processing of personal data in the context of information society services, such protection being governed by Directive 2002/58 or by Regulation 2016/679, as appropriate. Article 23(1) of Regulation 2016/679, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation which requires that providers of access to online public communication services and hosting service providers retain, generally and indiscriminately, inter alia, personal data relating to those services.

Link til C-511/18 og C-512/18 på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Orange România S.A.

Sagsøgte i hovedsagen:

Det rumænske datatilsyn (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Tribunalul București (Rumænien). Sagen omhandler fortolkning af databeskyttelsesdirektivets regler om samtykke.

De præjudicielle spørgsmål:

  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en specifik og informeret viljetilkendegivelse som omhandlet i databeskyttelsesdirektivets artikel 2, litra h?
  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en frivillig viljetilkendegivelse som omhandlet i direktivets artikel 2, litra h?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. marts 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”En registreret, som har til hensigt at indgå et aftaleforhold om leveringen af telekommunikationstjenester med en virksomhed, giver ikke sit »samtykke«, dvs. tilkendegiver ikke en »specifik og informeret« samt »frivillig« vilje som omhandlet i artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) til denne virksomhed, når den registrerede med håndskrift, på hvad der ellers er en standardaftale, skal anføre, at denne nægter at samtykke til fotokopieringen og opbevaringen af sine ID-dokumenter.”

Domsafsigelse

EU-domstolen har d. 11 november truffet afgørelse i sagen. Domstolen valgte i sin afgørelse at fremsætte både sin fortolkning af databeskyttelsesdirektivets artikel 2. litra h) som de præjudicielle spørgsmål oprindeligt omhandlede, samt sin fortolkning af databeskyttelsesforordningens artikel 4, stk. 11 og artikel 6, stk. 1, litra a) omhandlede den nu gældende databeskyttelsesforordnings definitionen af det databeskyttelsesretlige samtykke. 

Af Domstolens afgørelse fremgår følgende:

Artikel 2, litra h), og artikel 7, litra a), i databeskyttelsesdirektivet samt artikel 4, nr. 11), og artikel 6, stk. 1, litra a), databeskyttelsesforordningen  skal fortolkes således, at det påhviler den dataansvarlige at påvise, at den registrerede ved en aktiv adfærd har tilkendegivet sit samtykke til behandling af sine personoplysninger, og at den registrerede forud herfor har modtaget oplysninger om alle omstændigheder i forbindelse med behandlingen i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som sætter vedkommende i stand til uden besvær at bestemme konsekvenserne af dette samtykke, således at det sikres, at samtykket gives med fuldt kendskab til følgerne.

En aftale om levering af telekommunikationstjenester, der indeholder et vilkår om, at den registrerede er blevet informeret om og har givet samtykke til indsamling og opbevaring af en genpart af vedkommendes identitetsbevis med henblik på identifikation af den pågældende, kan ikke bevise, at den registrerede har givet et gyldigt samtykke til denne indsamling og opbevaring som omhandlet i disse bestemmelser, hvis

  • feltet vedrørende dette vilkår er blevet afkrydset af den dataansvarlige inden underskrivelsen af aftalen, eller
  • aftalevilkårene kan vildlede den registrerede med hensyn til muligheden for at indgå den pågældende aftale, selv om vedkommende nægter at give samtykke til behandlingen af sine oplysninger, eller
  • den dataansvarlige uretmæssigt påvirker det frie valg med hensyn til at modsætte sig denne indsamling og opbevaring ved at kræve, at den registrerede ved nægtelse af samtykke skal udfylde en supplerende formular om nægtelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

D.-H.T., som kurator for J & S Service UG (haftungsbeschränkt).

Sagsøgte i hovedsagen:

Land Nordrhein-Westfalen.

Faktum i hovedsagen:

Sagsøger er kurator. Han har anmodet om skattemæssige oplysninger vedrørende debitor, et kapitalselskab (Unternehmergesellschaft), fra det kompetente skattekontor med henblik på at kunne undersøge fremsatte krav om omstødelse ved insolvens.

Skattekontoret afslog imidlertid kurators anmodning, fremsat i henhold til Informationsfreiheitsgesetz (lov om informationsfrihed) i delstaten Nordrhein-Westfalen, om indsigt i oplysninger vedrørende trusler om tvangsfuldbyrdelsesforanstaltninger og om påbud om opfyldelse, modtagne betalinger og om tidspunktet, hvor det blev kendt, at debitor var insolvent, og endelig om udlevering af kontoudtog for alle forskellige typer af skattekonti i beskatningsperioden marts 2014 til juni 2015.

De præjudicielle spørgsmål:

  • Tjener artikel 23, stk. 1, litra j), i forordning (EU) 2016/679 ligeledes til beskyttelsen af skattemyndighedernes interesser?
  • Omfatter udtrykket »håndhævelse af civilretlige krav« i bekræftende fald også skattemyndighedernes forsvar mod civilretlige krav, og skal de pågældende krav i givet fald allerede være gjort gældende?
  • Giver bestemmelsen i artikel 23, stk. 1, litra e), i forordning (EU) 2016/679 om beskyttelse af en medlemsstats væsentlige finansielle interesser, herunder skatteanliggender, mulighed for at begrænse indsigtsretten i henhold til artikel 15 i forordning (EU) 2016/679 med henblik på at afværge civilretlige krav om omstødelse ved insolvens mod skattemyndighederne?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. september 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”Jeg foreslår, at Domstolen fastslår, at den savner kompetence til at besvare de præjudicielle spørgsmål fra Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland).”

Domsafsigelse:

EU-domstolen har den 10. december 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Domstolen har ikke kompetence til at besvare de spørgsmål, der er forelagt af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 4. juli 2019.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

H.K.

Sagsøgte:

Anklagemyndigheden i Estland

Faktum i hovedsagen:

H.K er estisk statsborger, som blev dømt efter estisk straffelov i en sag, hvor retten i første instans støttede domfældelsen, foruden andre beviser, på protokoller, der var blevet udfærdigt på grundlag af data, som var blevet udleveret af en telekommunikationsvirksomhed i forbindelse med efterforskningen.

De præjudicielle spørgsmål:

  • Skal artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, sammenholdt med artikel 7, 8, 11 og 52, stk. 1, i Den Europæiske Unions Charter om grundlæggende rettigheder fortolkes således, at statslige myndigheders adgang i en straffesag til data, som gør det muligt at fastslå udgangs- og destinationssted, dato, klokkeslæt og varighed, kommunikationstjenestens art, det anvendte terminaludstyr og stedet for anvendelsen af mobilt terminaludstyr for så vidt angår en sigtets telefon- eller mobiltelefonkommunikation, udgør et så alvorligt indgreb i de grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, at denne adgang i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager skal begrænses til bekæmpelse af grov kriminalitet, uanset hvilken periode de lagrede data, som de statslige myndigheder har adgang til, vedrører?

  • Skal artikel 15, stk. 1, i direktiv 2002/58/EF med udgangspunkt i proportionalitetsprincippet, som kommer til udtryk i Den Europæiske Unions Domstols dom af 2. oktober 2018 (C-207/16, præmis 55-57), fortolkes således, at når mængden af de i det første spørgsmål nævnte data, som de statslige myndigheder har adgang til, ikke er stor (hverken med hensyn til dataenes art eller tidsmæssige udstrækning), kan det dertil knyttede indgreb i de grundlæggende rettigheder være begrundet i formålet forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager generelt, og at de strafbare handlinger, som skal bekæmpes med indgrebet, skal være så meget desto grovere, jo større den mængde data er, som de statslige myndigheder har adgang til?

  • Betyder det i Domstolens dom af 21. december 2016 i de forenede sager C-203/15 og C-698/15, domskonklusionens punkt 2, nævnte krav om, at de kompetente statslige myndigheders adgang skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, at artikel 15, stk. 1, i direktiv 2002/58/EF skal [org. s. 2] fortolkes således, at anklagemyndigheden, som leder efterforskningen, og som i denne forbindelse ifølge loven er forpligtet til at handle uafhængigt og kun er bundet af loven og under efterforskningen opklarer såvel omstændigheder, der belaster den tiltalte, som omstændigheder, der er diskulperende for den pågældende, men senere i retssagen repræsenterer den offentlige anklage, kan anses for en uafhængig administrativ myndighed?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 21. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de kriterier, der giver mulighed for at bedømme alvoren af det indgreb i de grundlæggende rettigheder, som udgøres af de kompetente nationale myndigheders adgang til personoplysninger, som udbyderne af elektroniske kommunikationstjenester i henhold til en national lovgivning har pligt til at opbevare, omfatter de pågældende kategorier af data samt varigheden af den periode, for hvilken der er anmodet om denne adgang. Det tilkommer den forelæggende ret på grundlag af indgrebets alvor at vurdere, om den pågældende adgang var strengt nødvendig for at nå målet om at sikre forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

2) Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundliggende rettigheder, skal fortolkes således, at kravet om, at de kompetente nationale myndigheders adgang til de lagrede data skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, ikke er opfyldt, når en national lovgivning bestemmer, at en sådan kontrol udføres af den offentlige anklager, der har til opgave at lede efterforskningen og samtidig kan udøve den offentlige påtalekompetence for retten."

Domsafsigelse

EU-domstolen har den 2. marts afsagt dom i sagen, hvoraf følgene fremgår:

Det første og det andet spørgsmål, som Domstolen behandlede samlet, besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der giver offentlige myndigheder adgang til en samling af trafikdata eller lokaliseringsdata, som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv, med henblik på at foretage forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, uden at denne adgang er begrænset til de procedurer, der har til formål at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed, og uafhængigt af varigheden af den periode, for hvilken der er anmodet af adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode.

Det tredje spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der tillægger anklagemyndigheden, der har til opgave at lede den strafferetlige efterforskning og i givet fald at udøve den offentlige påtalekompetence i en senere retssag, beføjelse til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata i forbindelse med den strafferetlige efterforskning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY og XX.

Sagsøgte i hovedsagen:

Den belgiske regering.

Faktum i hovedsagen:

Samme problemstilling som i de forenede sager C-511/18 og C-512/18. Den belgiske forfatningsdomstol har forelagt EU-Domstolen tre præjudicielle spørgsmål ved-rørende de EU-retlige rammer for nationale bestemmelser, der forpligter teleudbydere mv. at lagre trafik- og lokaliseringsdata.

De præjudicielle spørgsmål:

  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 6, 7, 8 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, som ikke kun har efterforskning, afsløring og retsforfølgning af grov kriminalitet som formål, men ligeledes sikring af den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller gennemførelse af et andet formål i henhold til artikel 23, stk. 1, i databeskyttelsesforordningen, og som endvidere er undergivet præcise garantier i denne lovgivning vedrørende lagring af data og adgangen dertil?
  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Chartrets artikel 4,7, 8, 11 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, såfremt denne lovgivning bl.a. har til formål at opfylde de positive forpligtelser, der påhviler myndigheden i henhold til Chartrets artikel 4 og 8, der består i at fastsætte en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler?
  • Såfremt den belgiske forfatningsdomstol på grundlag af besvarelserne af det første og det andet præjudicielle spørgsmål konkluderer, at den anfægtede lov er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan forfatningsdomstolen da midlertidigt opretholde virkningerne af den national lov om indsamling og lagring af data i den elektroniske kommunikationssektor med henblik på at undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

– Den er til hinder for en national lovgivning, som pålægger operatører og udbydere af elektroniske kommunikationstjenester en pligt til generelt og udifferentieret at lagre trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og brugere i forbindelse med samtlige midler til elektronisk kommunikation.

– Ovenstående berøres ikke af den omstændighed, at denne nationale lovgivning ikke blot har efterforskning, afsløring og retsforfølgning af grov eller ikke grov kriminalitet til formål, men derimod også den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller et andet formål i henhold til artikel 23, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

– Ovenstående berøres heller ikke af den omstændighed, at adgangen til lagrede data er undergivet præcise lovgivningsmæssige garantier. Det tilkommer den forelæggende ret at efterprøve, om den nationale lovgivning, der regulerer betingelserne for de kompetente myndigheders adgang, begrænser den til de specifikke tilfælde, hvis grad af alvor gør det nødvendigt at foretage et indgreb, betinger den af en forudgående kontrol (undtagen i hastende tilfælde) fra en retsinstans eller en uafhængig myndighed, og foreskriver, at de berørte personer underrettes om denne adgang, såfremt denne underretning ikke bringer disse myndigheders indsats i fare.

2) Artikel 4 og 6 i Den Europæiske Unions charter om grundlæggende rettigheder berører ikke fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med de øvrige førnævnte artikler i chartret, således at de forhindrer, at det fastslås, at en national lovgivning som den i hovedsagen omtvistede er uforenelig med EU-retten.

3) En national retsinstans kan, hvis dette er tilladt i henhold til national ret, undtagelsesvis og midlertidigt opretholde virkningerne af en lovgivning som den i hovedsagen omhandlede, selv om den er uforenelig med EU-retten, såfremt denne opretholdelse er begrundet i tvingende hensyn vedrørende trusler mod den offentlige sikkerhed eller den nationale sikkerhed, som ikke er mulige at håndtere ved hjælp af andre midler eller alternativer. Nævnte opretholdelse kan kun omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe den pågældende uforenelighed med EU-retten."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Ad spørgsmål 1 og 2:

  • Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger
    • der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og
    • der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over
  • for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug

Ad spørgsmål 3:

  • Det tredje spørgsmål i sag C-520/18 besvares med, at en national ret ikke kan anvende en bestemmelse i den nationale lovgivning, som giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester navnlig med henblik på beskyttelse af den nationale sikkerhed og bekæmpelse af kriminalitet, at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1. Denne artikel 15, stk. 1, som fortolket i lyset af effektivitetsprincippet, pålægger den nationale ret i straffesager at se bort fra de oplysninger og de beviser, der er opnået ved hjælp af en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået kriminelle handlinger, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøgere i hovedsagen:

WS

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Den konkrete sag drejer sig om, at Interpol har registreret en efterlysning (en såkaldt "Red Notice"), som hidrører fra en stat uden for EU, og hvor efterforskningen af den person, som efterlysningen vedrører (sagsøger i den tyske sag), blev indstillet af en tysk anklagemyndighed mod betaling af et pålagt beløb.

Sagsøger har bl.a. gjort gældende, at medlemsstaternes behandling af personoplysninger om ham registreret hos Interpol som en "Red Notice" er i strid med retshåndhævelsesdirektivet, idet behandling efter direktivets artikel 8, stk. 1, kun er lovlig, hvis den sker på grundlag af EU-retten. Det følger endvidere af 25. betragtning til retshåndhævelsesdirektivet, at grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af personoplysninger skal sikres ved udvekslingen af personoplysninger med Interpol. På den baggrund anfører sagsøger, at medlemsstaterne alene må behandle oplysninger registreret hos Interpol, der er i overensstemmelse med EU-retten.

Det bemærkes i den forbindelse, at der ikke foreligger en afgørelse fra EU-Kommissionen om tilstrækkeligheden af Interpols databeskyttelsesniveau, jf. retshåndhævelsesdirektivets artikel 36

De præjudicielle spørgsmål:

  • Skal Schengenkonventionens 1 artikel 54, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), fortolkes således, at allerede indledningen af en straffesag i alle lande omfattet af Schengenaftalen på grund af den samme lovovertrædelse er udelukket, når en tysk anklagemyndighed indstiller en indledt straffesag, efter at den sigtede har opfyldt bestemte vilkår, herunder navnlig har betalt et bestemt af anklagemyndigheden fastsat pengebeløb?
  • Gælder der som følge af artikel 21, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde et forbud mod medlemsstaters efterkommelse af anmodninger om anholdelse fra tredjelande inden for rammerne af en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – når den af anholdelsesanmodningen omfattede person er unionsborger, og når den medlemsstat, hvori den pågældende er statsborger, har underrettet både den internationale organisation og dermed også de øvrige medlemsstater om sin betænkelighed ved anholdelsesanmodningens forenelighed med forbuddet mod dobbeltstraf?
  • Er allerede indledningen af en straffesag og en foreløbig anholdelse i de medlemsstater, hvori den pågældende ikke er statsborger, i strid med artikel 21, stk. 1, TEUF, såfremt dette er i strid med forbuddet mod dobbeltstraf?
  • Skal artikel 4, stk. 1, litra a), og artikel 8, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 2 , sammenholdt med Schengenkonventionens artikel 54 og chartrets artikel 50, fortolkes således, at medlemsstaterne er forpligtet til at fastsætte retsregler, som kan sikre, at det i tilfælde af en sag, der fører til ophør af adgangen til strafforfølgning, i alle stater omfattet af Schengenaftalen vil være forbudt at behandle en såkaldt (»Red Notice)« fra Den Internationale Kriminalpolitiorganisation – Interpol – med henblik på på ny at indlede en straffesag?
  • Råder en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – over et tilstrækkeligt databeskyttelsesniveau, når der ikke er truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet i medfør af artikel 36 i direktiv (EU) 2016/680 og/eller fastsat bestemmelser om fornødne garantier i medfør af artikel 37 i direktiv (EU) 2016/680?
  • Må medlemsstaterne kun behandle oplysninger, som indgår i en til Den Internationale Kriminalpolitiorganisation – Interpol – af tredjelande indgivet efterlysning (»Red Notice«), hvis et tredjeland med efterlysningen formidler en anholdelses- og udleveringsanmodning og samtidig fremsætter en anholdelsesanmodning, der ikke strider mod EU-retten, herunder navnlig forbuddet mod dobbeltstraf?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. november 2020. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Ad det første, andet og tredje spørgsmål

’’Artikel 54 i konventionen om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 21, stk. 1, TEUF, er til hinder for, at medlemsstaterne kan gennemføre en af Interpol udstedt Red Notice efter anmodning fra et tredjeland og dermed begrænse en persons frie bevægelighed, forudsat at den kompetente myndighed i en medlemsstat har truffet en endelig afgørelse om den konkrete anvendelse af princippet ne bis in idem for så vidt angår de specifikke anklager, som var baggrunden for udstedelsen af den omhandlede Red Notice.’’

Ad det fjerde og sjette spørgsmål

’’Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger , sammenholdt med gennemførelseskonventionens artikel 54 og chartrets artikel 50, er ikke til hinder for behandling af personoplysninger, der indgår i en Red Notice udstedt af Interpol, selv hvis princippet ne bis in idem kunne finde anvendelse på anklager, som var baggrunden for udstedelsen af denne Red Notice, forudsat at behandlingen foretages i overensstemmelse med reglerne i dette direktiv.’’

Ad det femte spørgsmål

’’Det femte spørgsmål (om hvorvidt en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – råder over et tilstrækkeligt databeskyttelsesniveau red.) afvises.’’

Domsafsigelse:

EU-domstolen har den 12. maj 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 54 i konventionen om gennemførelse af Schengen-aftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, der blev undertegnet i Schengen den 19. juni 1990 og trådte i kraft den 26. marts 1995, og artikel 21, stk. 1, TEUF, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelserne ikke er til hinder for, at myndighederne i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller en medlemsstats myndigheder efter anmodning fra en tredjestat foretager en midlertidig anholdelse af en person, der er omfattet af et efterlysningsblad (rødt hjørne) offentliggjort af Den Internationale Kriminalpolitiorganisation (INTERPOL), medmindre det i en endelig retsafgørelse truffet i en stat, der er part i denne aftale, eller i en medlemsstat er godtgjort, at der over for denne person allerede er afsagt endelig dom i en stat, som er part i nævnte aftale, eller i en medlemsstat for de samme strafbare handlinger som dem, der udgør grundlaget for det nævnte efterlysningsblad (rødt hjørne).

2)      Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med artikel 54 i konventionen om gennemførelse af Schengenaftalen, undertegnet den 19. juni 1990, og med artikel 50 i chartret om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for en behandling af de personoplysninger, som er indeholdt i et efterlysningsblad (rødt hjørne) udsendt af Den Internationale Kriminalpolitiorganisation (INTERPOL), så længe det ikke ved en endelig retsafgørelse truffet i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller i en medlemsstat er blevet godtgjort, at princippet ne bis in idem finder anvendelse for så vidt angår de strafbare handlinger, hvorpå dette efterlysningsblad er støttet, og forudsat at en sådan behandling opfylder de i direktivet fastsatte betingelser, herunder navnlig at den er nødvendig for, at en kompetent myndighed kan udføre en opgave som omhandlet i direktivets artikel 8, stk. 1.

3)      Det femte præjudicielle spørgsmål kan ikke antages til realitetsbehandling

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Facebook Ireland Ltd, Facebook Inc og Facebook Belgien Bvba

Sagsøgte i hovedsagen:

Det Belgiske Datatilsyn

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel [55, stk. 1], artikel 56-58 og artikel 60-66 i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder fortolkes således, at en tilsynsmyndighed i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5] har kompetence til at indlede en retssag ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed ved den grænseoverskridende behandling?
  • Har det herved nogen betydning, hvis den behandlingsansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat men dog et andet etableringssted?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed indleder retssagen mod den behandlingsansvarliges hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen fandt anvendelse (25. maj 2018)?
  • Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5], i forordning 2016/679 da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset denne forordnings artikel [58, stk. 5] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?
  • Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i forordning 2016/679?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. januar 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Bestemmelserne databeskyttelsesforordningen giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.
  • Databeskyttelsesforordningen er til hinder for, at en tilsynsmyndighed fortsætter behandlingen af en retssag, der blev indledt før forordningens ikrafttrædelse, men som vedrører adfærd, der ligger efter denne dato.
  • Databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, for så vidt som en national tilsynsmyndighed kan støtte ret på denne bestemmelse for at indlede eller fortsætte behandlingen af retssager ved de nationale domstole, selv om denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.«

Domsafsigelse:

EU-domstolen har den 15. juni 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

2)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

3)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

4)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

5)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

M.I.C.M. Mircom International Content Management & Consulting Limited.

Sagsøgte i hovedsagen:

Telenet BVBA.

Faktum i hovedsagen:

I hovedsagen kræver selskabet Mircom, at Telenet fremlægger identifikationsoplysninger for tusindvis af sine kunder, hvilket Telenet har afvist. Ifølge Mircom har de pågældende kunder ved hjælp af BitTorrent-teknologi uploadet film fra dets katalog, hvilket ifølge Mircom er en ulovlig overføring af dets film til almenheden.

De præjudicielle spørgsmål:

  • Kan downloading via et peer-to-peer netværk af en fil med tilhørende underdele ("pieces") (nogle gange meget fragmentarisk i forhold til hele filen) med henblik på at uploade til tilrådighedsstillelse ("seede"), betragtes som en overføring til almenheden som omhandlet i artikel 3, stk. 1, i direktiv 2001/29, til trods for, at disse individuelle pieces i sig selv er uanvendelige?
    • gælder der en bagatelgrænse for, hvornår seeding af disse pieces udgør en overførsel til almenheden?
    • er det en relevant omstændighed, at seeding'en (som en følge af indstillingerne i kundens BitTorrent-program) kan ske automatisk og således uden brugerens viden? 
  • Kan en person, der i henhold til aftale er indehaver af ophavsrettigheder (eller beslægtede rettigheder), men som ikke selv udnytter disse rettigheder men blot kræver skadeserstatning af formentlige krænkere – og hvis økonomiske model for indtjening således er afhængig af piratvirksomhed i stedet for at bekæmpe den – nyde de samme rettigheder, som efter kapitel II i direktiv 2004/48 tilkommer ophavsmænd eller licenshavere, som udnytter ophavsrettigheder på normal vis? 
    • Hvorledes kan disse licenshavere i dette tilfælde have lidt et "tab" som følge af krænkelsen (som omhandlet i artikel 13 i direktiv 2004/48)? 
  • Er de konkrete omstændigheder, der er beskrevet i spørgsmål 1 og 2 relevante ved bedømmelsen af afvejningen af den korrekte ligevægt mellem på den ene side håndhævelsen af intellektuelle ejendomsrettigheder og på den anden side de rettigheder og friheder, der sikres af grundrettighedschartret så som beskyttelse af privatlivet og personoplysninger, særligt i forbindelse med proportionalitetsbedømmelsen? 
  • Er systematisk registrering og påfølgende generel behandling af IP-adresser på en swarm af seeders (foretaget af licenshaver selv eller af tredjemand på opdrag af licenshaver) under disse omstændigheder lovlig efter den generelle forordning om databeskyttelse, nærmere bestemt artikel 6, stk. 1, litra f), i denne forrodning? 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at den omstændighed, at delelementer af en fil, der indeholder et beskyttet værk, stilles til rådighed til downloading via et peer-to-peer-netværk, selv inden den pågældende bruger har downloadet hele den pågældende fil, er omfattet af retten til tilrådighedsstillelse for almenheden som omhandlet i denne artikel, uden at det er afgørende, om denne bruger havde fuldt kendskab til omstændighederne.

2) Artikel 4, litra b), i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29 april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en organisation, som, selv om den har erhvervet visse rettigheder til beskyttede værker, ikke udnytter dem og blot kræver erstatning fra personer, som krænker disse rettigheder, ikke har mulighed for at gøre brug af de i dette direktivs kapitel II omhandlede foranstaltninger, procedurer og retsmidler, i det omfang den nationale ret finder, at denne organisations erhvervelse af rettighederne alene havde til formål at opnå denne mulighed. Direktiv 2004/48 kræver ikke og er ikke til hinder for, at en medlemsstat i sin nationale lovgivning giver en erhverver af fordringer, der er forbundet med krænkelser af intellektuelle ejendomsrettigheder, denne mulighed.

3) Artikel 8, stk. 1, i direktiv 2004/48, sammenholdt med dette direktivs artikel 3, stk. 2, skal fortolkes således, at den nationale ret skal nægte adgangen til at gøre brug af den i dette direktivs artikel 8 omhandlede ret til information, hvis den under hensyn til sagens omstændigheder finder, at anmodningen om oplysninger er ubegrundet eller uretmæssig.

4) Artikel 6, stk. 1, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at registrering af IP-adresser, der er tildelt personer, hvis internetforbindelser er blevet brugt til deling af beskyttede værker via peer-to-peer-netværk, udgør en lovlig behandling af personoplysninger, når denne registrering foretages som led i den dataansvarliges eller en tredjemands forfølgelse af en legitim interesse, navnlig med henblik på at indgive en begrundet anmodning om udlevering af navnene på indehaverne af de internetforbindelser, der er identificeret ved hjælp af IP-adresserne i henhold til artikel 8, stk. 1, litra c), i direktiv 2004/48.«

Domsafsigelse:

EU-Domstolen har den 17. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3, stk. 1 og 2, i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at uploading fra terminaludstyr tilhørende en bruger af et peer-to-peer-netværk til terminaludstyr tilhørende andre brugere af dette netværk, af delelementer, som denne bruger først har downloadet, af en mediefil, der indeholder et beskyttet værk, udgør en tilrådighedsstillelse for almenheden i denne bestemmelses forstand, selv om disse delelementer kun er anvendelige i sig selv, når en vis andel er downloadet. Det er uden betydning, at uploadingen foretages automatisk af delingssoftwaren BitTorrent-klient som følge af denne softwares indstillinger, når brugeren fra det terminaludstyr, hvorfra uploadingen sker, har tegnet abonnement på denne software ved at give samtykke til anvendelse heraf efter at være blevet behørigt informeret om dens egenskaber.

2) Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en person, der i henhold til aftale er indehaver af visse intellektuelle ejendomsrettigheder, som denne person dog ikke selv udnytter, idet den pågældende blot kræver erstatning fra de formodede krænkende parter, principielt kan gøre brug af de foranstaltninger, procedurer og retsmidler, der er fastsat i dette direktivs kapitel II, medmindre det i henhold til den generelle forpligtelse, der er fastsat i direktivets artikel 3, stk. 2, og på grundlag af en samlet og indgående undersøgelse godtgøres, at den pågældende persons begæring er udtryk for misbrug. Hvad særligt angår en begæring om oplysninger på grundlag af dette direktivs artikel 8 skal en sådan ligeledes afslås, hvis den ikke er velbegrundet eller ikke er forholdsmæssigt afpasset, hvilket det tilkommer den forelæggende ret at efterprøve.

3)  Artikel 6, stk. 1, første afsnit, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, skal fortolkes således, at denne bestemmelse principielt hverken er til hinder for, at indehaveren af intellektuelle ejendomsrettigheder og en tredjemand på dennes vegne foretager systematisk registrering af IP-adresser på brugere af peer-to-peer-netværk, hvis internetforbindelser angiveligt er blevet brugt til krænkende aktiviteter, eller at disse brugeres navne og postadresser videregives til denne indehaver eller en tredjemand med henblik på at gøre det muligt for den pågældende at anlægge et erstatningssøgsmål ved en civil domstol vedrørende tab, som de nævnte brugere angiveligt har forvoldt, dog på betingelse af, at den nævnte indehavers eller en sådan tredjemands initiativer og begæringer i denne henseende er velbegrundede, forholdsmæssigt afpassede og ikke udtryk for misbrug, og at der er et retsgrundlag herfor i en national retsforskrift som omhandlet i artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, der indskrænker rækkevidden af reglerne i artikel 5 og 6 i dette direktiv, som ændret.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

B.

Sagsøgte i hovedsagen:

Latvijas Republikas Saeima (Republikken Letlands parlament).

Faktum i hovedsagen:

På grundlag af artikel 267 TEUF anmoder den forelæggende ret om en fortolkning af forordning nr. 2016/679 og direktiv 2003/98 for at kunne afgøre, om det er forbudt for medlemsstaterne i deres retsorden at fastsætte bestemmelser, hvorefter oplysninger om de point, som førere er pålagt for færdselsforseelser, er tilgængelige for offentligheden, således at de omhandlede personoplysninger kan behandles ved formidling og overførsel med henblik på videreanvendelse.

Subsidiært ønsker den forelæggende ret ligeledes oplysning om fortolkningen af princippet om EU-rettens forrang og retssikkerhedsprincippet med henblik på at præcisere anvendeligheden af den nationale bestemmelse i tvisten i hovedsagen og muligheden for at opretholde retsvirkningerne heraf, indtil den forelæggende rets endelige afgørelse om, at den er i overensstemmelse med forfatningen, bliver retskraftig.

De præjudicielle spørgsmål:

  • Bør begrebet "behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger" i artikel 10 i forordning 2016/679 1 , fortolkes således, at det omfatter behandling af oplysninger om de point, som førere pålægges for færdselsforseelser i henhold til den omtvistede bestemmelse?
  • Uanset svaret på det første spørgsmål, kan bestemmelserne i forordning 2016/679, navnlig princippet om "integritet og fortrolighed", jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de point, der pålægges førere for færdselsforseelser, er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?
  • Bør 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i direktiv 2003/98/EF 2 samt artikel 1, stk. 2, litra cc), i forordning 2016/679 fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de point, der pålægges førere for trafikforseelser, med henblik på videreanvendelse?
  • Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil forfatningsdomstolens endelige afgørelse bliver retskraftig?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Databeskyttelsesforordningens artikel 10 skal fortolkes således, at den ikke omfatter situationer med behandling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom færdselslovens artikel 141, stk. 2.

2) Databeskyttelsesforordningens artikel 5, stk. 1, litra c), er til hinder for en national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

3) En national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling, herunder med henblik på videreanvendelse, af oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, ikke reguleres af bestemmelserne i direktiv 2003/98. GDPR-forordningens artikel 5, stk. 1, litra c), er endvidere til hinder herfor.

4) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

 

Den 16. februar 2021 blev en ny version af generaladvokatens forslag til afgørelse forkyndt. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke omfatter situationer med behandling af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom artikel 141, stk. 2, i Ceļu satiksmes likums (færdselsloven).

2) Artikel 5, stk. 1, litra c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

3) Artikel 5, stk. 1, litra b) og c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, når denne formidling sker med henblik på videreanvendelse.

4) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer regulerer ikke behandlingen og formidlingen, herunder med henblik på videreanvendelse, af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

5) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstolen) endelige afgørelse bliver retskraftig.

Domsafsigelse:

EU-Domstolen har den 22. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

2) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

3) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

4) Princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

La Quadrature du Net, French Data Network, Fédération des Fournisseurs d'Accès à Internet Associatifs

Sagsøgte:

EU-Kommissionen

Sagsøgernes påstand:

EU-Kommissionens gennemførelsesafgørelse 2016/1250 af 12. juli 2016 (Privacy Shield) er uforenelig med artikel 7, 8 og 47 i Den Europæiske Unions Charter om grundlæggende rettigheder (2000/C 364/01), og skal derfor annulleres.

Væsentligste argumenter:

  • Den generelle karakter af indsamlingen af personoplysninger, som er tilladt i henhold til amerikansk lovgivning, indebærer, at Privacy Shield-afgørelsen udgør et uberettiget indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet
  • Beskyttelsesniveauet efter amerikansk lovgivning svarer ikke til det niveau, der er sikret inden for Unionen, da indsamlingen af personoplysninger i USA ikke er begrænset til det strengt nødvendige
  • Privacy Shield-afgørelsen tager ikke højde for, at der ikke er fastsat effektive retsmidler i den amerikanske lovgivning
  • Der er ikke fastsat nogen uafhængig kontrol af beskyttelsesniveauet i USA

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Det er ikke længere fornødent at træffe afgørelse i den foreliggende sag.

Link til sagen på EU-Domstolens hjemmeside

Oversigt

Historiske domme

Nedenfor finder du en oversigt over historiske domme på databeskyttelsesområdet ved EU-Domstolen, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 22. juli 2021.

Sagsøger:

Rechnungshof (sag C-465/00)

og

Christa Neukomm (sag C-138/01)

Joseph Lauermann (sag C-139/01) 

 

Sagsøgte:

Österreichischer Rundfunk,

Wirtschaftskammer Steiermark,

Marktgemeinde Kaltenleutgeben,

Land Niederösterreich,

Österreichische Nationalbank,

Stadt Wiener Neustadt,

Austrian Airlines, Österreichische Luftverkehrs-AG (sag C-465/00)

og 

Österreichischer Rundfunk (sag C-138/01) (sag C-139/01) 

 

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 17. maj 2001 blev sag C-138/01 og sag C-139/01 forenet med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen. Endvidere bør sag C-465/00 forenes med sag C-138/01 og C-139/01 med henblik på dommen.

 

Sag C-465/00:

1) Skal de fællesskabsretlige bestemmelser, herunder navnlig bestemmelserne om databeskyttelse, fortolkes således, at de er til hinder for en national ordning, hvorefter en statslig institution er forpligtet til at indsamle og videregive indkomstoplysninger med henblik på offentliggørelse af navne og indkomstforhold vedrørende ansatte i

            a) en lokal myndighed

            b) en offentligretlig radiostation

            c) en national centralbank

           d) en lovreguleret interesseorganisation

           e) et foretagende, der drives som en erhvervsvirksomhed, men delvis er underlagt statslig styring?

 

2) Hvis Domstolen besvarer dette spørgsmål bekræftende eller i det mindste delvis bekræftende:

Er de bestemmelser, der er til hinder for en national ordning af det beskrevne indhold, i den forstand umiddelbart anvendelige, således at de kan påberåbes af de personer, der er forpligtet til at fremlægge oplysningerne, for at forhindre anvendelsen af de nationale forskrifter, der er i strid hermed?

 

Sagerne C-138/01 og C-139/01:

1) Skal de fællesskabsretlige bestemmelser, herunder navnlig bestemmelserne om databeskyttelse [artikel 1, 2, 6, 7 og 22 i direktiv 95/46/EF, sammenholdt med artikel 6 EU (tidligere artikel F) og den europæiske menneskerettighedskonventions artikel 8], fortolkes således, at de er til hinder for en national ordning, hvorefter en offentligretlig radiostation som institution er forpligtet til at meddele og en statslig institution er forpligtet til at indsamle og videregive indkomstoplysninger med henblik på offentliggørelse af navne og indkomstforhold vedrørende de ansatte i en offentligretlig radiostation?

2)For det tilfælde, at Domstolen besvarer dette spørgsmål bekræftende: Er de bestemmelser, der er til hinder for en national ordning af det beskrevne indhold, i den forstand umiddelbart anvendelige, således at de kan påberåbes af den institution, der er forpligtet til at fremlægge oplysningerne, for at forhindre anvendelsen af de nationale forskrifter, der er i strid hermed, således at en national lovfæstet forpligtelse derfor ikke kan gøres gældende over for de ansatte, der er berørt af offentliggørelsen?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 14. november 2002. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Foreslår at Domstolen besvarer de af Verfassungsgerichtshof og af Oberster Gerichtshof forelagte præjudicielle spørgsmål således, at de former for behandling af personoplysninger, der er fastlagt i en lovgivning som den i sagen omhandlede, ikke er omfattet af bestemmelserne i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, eftersom de er iværksat »med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten« som omhandlet i samme direktivs artikel 3, stk. 2. Domstolen er ikke kompetent til at vurdere, om denne lovgivning er forenelig med fællesskabsrettens almindelige principper om fortrolighed.

Domsafsigelse

EU-domstolen har den 20. maj 2003 afsagt dom i de forende sager, hvoraf følgene fremgår:

1) Artikel 6, stk. 1, litra c), og artikel 7, litra c) og e), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er ikke til hinder for nationale bestemmelser som de i hovedsagerne omhandlede på betingelse af, at det godtgøres, at den omfattende offentliggørelse ikke blot af størrelsen af årlige indkomster over et bestemt niveau, som ansatte ved offentlige institutioner, der er underlagt Rechnungshofs revision, modtager, men også af navnene på modtagerne af disse indkomster, både er nødvendig og står i et rimeligt forhold til det formål om hensigtsmæssig forvaltning af offentlige midler, hvilket det tilkommer de forelæggende retter at afgøre.

2) Artikel 6, stk. 1, litra c), og artikel 7, litra c) og e), i direktiv 95/46 er umiddelbart anvendelige i den forstand, at de for de nationale domstole kan påberåbes af private for at udelukke anvendelsen af regler i national ret, der er i strid med de pågældende bestemmelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Åklagarkammaren i Jönköping

Sagsøgte i hovedsagen:

Bodil Lindqvist

Faktum i hovedsagen:

Ved siden af sit arbejde som rengøringsassistent arbejdede B. Lindqvist med forberedelse af konfirmander i Alseda sogn (Sverige). Hun deltog i et edb-kursus, hvor hun bl.a. skulle lave en hjemmeside på internettet. I slutningen af 1998 oprettede B. Lindqvist hjemme hos sig selv og på sin egen computer hjemmesider på internettet for at gøre det let for menighedsmedlemmer, der forberedte deres konfirmation, at indhente de oplysninger, som de kunne have brug for. På foranledning af administratoren af den svenske kirkes hjemmeside på internettet blev der oprettet et link mellem disse hjemmesider og kirkens hjemmeside.

De omhandlede hjemmesider indeholdt oplysninger om B. Lindqvist og 18 af hendes kolleger i sognet, herunder deres fulde navn og i andre tilfælde blot deres fornavne. B. Lindqvist beskrev desuden kollegernes arbejdsopgaver og fritidsvaner i en let humoristisk sprogbrug. I flere tilfælde var også familieforhold, telefonnummer og andre oplysninger anført. Hun oplyste endvidere om en kvindelig kollega, at hun havde beskadiget foden og var delvis sygemeldt.

B. Lindqvist havde ikke oplyst sine kolleger om eksistensen af disse hjemmesider, eller indhentet deres samtykke og indgav heller ikke anmeldelse til Datainspektionen (offentligt organ, der beskytter elektronisk overførte oplysninger). Så snart hun fik kendskab til, at nogle af kollegerne ikke brød sig om hendes tiltag, blev de pågældende hjemmesider fjernet.

De præjudicielle spørgsmål:

1) Udgør omtale af en person – med navn eller med navn og telefonnummer – på en såkaldt hjemmeside på internettet en handling, der falder ind under anvendelsesområdet for direktiv [95/46]? Udgør det en »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb«, at der på en egenhændigt oprettet hjemmeside på internettet anføres et antal personer tillige med udsagn og påstande om disse personers arbejdsforhold og fritidsinteresser mv.?

2) Besvares spørgsmål 1 benægtende, kan det forhold, at der på en hjemmeside på internettet oprettes særlige sider for omkring femten personer med links mellem siderne, der gør det muligt at søge på fornavn, da anses for at udgøre en sådan »ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«, som omhandlet i artikel 3, stk. 1?

 

Besvares et eller begge af disse spørgsmål bekræftende, har hovrätten også følgende spørgsmål:

3) Kan det forhold, at der lægges oplysninger af den omtalte art om kolleger ud på en privat hjemmeside, som er tilgængelig for alle, der kender hjemmesidens adresse, anses for at falde uden for anvendelsesområdet for direktiv [95/46] på grund af en af undtagelserne i artikel 3, stk. 2?

4) Er oplysninger på en hjemmeside om, at en navngiven kollega har beskadiget sin fod og er delvis sygemeldt, sådanne personoplysninger om helbredsforhold, som i henhold til artikel 8, stk. 1, ikke må gøres til genstand for behandling?

5) Videregivelse af personoplysninger til et tredjeland er i henhold til direktiv [95/46] i visse tilfælde forbudt. Såfremt en person i Sverige ved hjælp af en computer lægger personoplysninger ud på en hjemmeside, som er lagret på en server i Sverige – hvorved personoplysningerne bliver tilgængelige for personer i et tredjeland – indebærer dette da en videregivelse af oplysninger til et tredjeland i direktivets forstand? Er svaret det samme, hvis der, så vidt vides, ikke er nogen fra tredjelande, der faktisk har indhentet oplysningerne, eller hvis den pågældende server rent fysisk befinder sig i et tredjeland?

6) Kan bestemmelserne i direktiv [95/46] i en sag som den foreliggende anses for at medføre en begrænsning, der er i strid med de almindelige principper om ytringsfrihed eller andre friheder og rettigheder, der er gældende inden for EU, og som svarer til bl.a. artikel 10 i Europakonventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder?

 

Hovrätten har endelig følgende spørgsmål.

7) Kan en medlemsstat – i de henseender, der er omtalt i de foregående spørgsmål – have en mere vidtgående beskyttelse af personoplysninger eller et videre anvendelsesområde end det, det følger af direktiv [95/46], selv om der ikke foreligger nogen af de i artikel 13 opregnede forhold.

 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. september 2002. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

I medfør af artikel 3, stk. 2, første led, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger henhører en behandling af personoplysninger, der består i uden noget lukrativt formål at oprette en hjemmeside som den, der er tale om i dette tilfælde, og som udelukkende skal fungere som støtte for en aktivitet som kateket, der udøves frivilligt og uden for ethvert arbejdsforhold i et sogn, ikke under direktivets anvendelsesområde.

Domsafsigelse:

EU-domstolen har den 6. november 2003 afsagt dom i sagen, hvoraf følgende fremgår:

1) En operation, der består i på en internetside at henvise til forskellige personer, og i at identificere dem ved navn eller på anden måde, f.eks. ved at oplyse deres telefonnummer eller ved at give oplysninger om deres arbejdsforhold og fritidsinteresser, udgør en »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb« i den forstand, hvori udtrykket er anvendt i artikel 3, stk. 1, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

2) En sådan behandling af personoplysninger er ikke omfattet af nogen af undtagelserne i artikel 3, stk. 2, i direktiv 95/46.

3) Angivelsen af den omstændighed, at en person har beskadiget sin fod og er delvis sygemeldt, udgør en personoplysning om helbredsforhold i den forstand, hvori udtrykket er anvendt i artikel 8, stk. 1, i direktiv 95/46.

4) Der foreligger ikke en »videregivelse til et tredjeland af personoplysninger« i den forstand, hvori udtrykket er anvendt i artikel 25 i direktiv 95/46, når en person, der befinder sig i en medlemsstat, lægger personoplysninger ud på en internetside, der er lagret hos en fysisk eller juridisk person, som er internetvært for det websted, hvor siden kan konsulteres, og som er etableret i den samme medlemsstat eller i en anden medlemsstat, hvorved personoplysningerne bliver tilgængelige for alle, der kobler sig på internettet, herunder personer i et tredjeland.

5) Bestemmelserne i direktiv 95/46 medfører ikke i sig selv en begrænsning, der er i strid med det almindelige princip om ytringsfrihed eller andre friheder og rettigheder, der er gældende inden for EU, og som svarer til bl.a. artikel 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950. Det påhviler de nationale myndigheder og domstole, der skal anvende de nationale bestemmelser til gennemførelse af direktiv 95/46, at sikre en retfærdig ligevægt mellem de omhandlede rettigheder og interesser, herunder de grundlæggende rettigheder, der beskyttes ved Fællesskabets retsorden.

6) De foranstaltninger, som medlemsstaterne træffer med henblik på at sikre beskyttelsen af personoplysninger, skal være forenelige med såvel bestemmelserne i direktiv 95/46, som med dets formål, som består i at opretholde en ligevægt mellem den frie udveksling af personoplysninger og beskyttelsen af privatlivet. Derimod er der intet til hinder for, at en medlemsstat udvider rækkevidden af den nationale lovgivning, der gennemfører bestemmelserne i direktiv 95/46, til områder, der ikke er omfattet af dette direktivs anvendelsesområde, for så vidt som ingen anden fællesskabsretlig bestemmelse er til hinder herfor.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Europa-Parlamentet

Sagsøgte i hovedsagen:

Rådet for Den Europæiske Union (C-317/04)

Kommissionen for De Europæiske Fællesskaber (C-318/04)

Baggrunden for tvisten:

Efter terrorangrebene den 11. september 2001 vedtog De Forenede Stater i november samme år en lovgivning, hvorefter luftfartsselskaber, der foretager flyvninger til, fra eller over De Forenede Stater, skulle give de amerikanske toldmyndigheder elektronisk adgang til oplysningerne i luftfartsselskabernes automatiske reservations-/afgangskontrolsystemer, der betegnes »Passenger Name Records« (herefter »PNR-oplysninger«). Selv om Kommissionen anerkender legitimiteten af de pågældende sikkerhedsinteresser, meddelte den allerede i juni 2002 De Forenede Staters myndigheder, at disse bestemmelser kunne komme i konflikt med Fællesskabets og medlemsstaternes lovgivning om beskyttelse af personoplysninger og med visse af bestemmelserne i Rådets forordning (EØF) nr. 2299/89 af 24. juli 1989 om en adfærdskodeks for edb-reservationssystemer (EFT L 220, s. 1), som ændret ved Rådets forordning (EF) nr. 323/1999 af 8. februar 1999 (EFT L 40, s. 1). De Forenede Staters myndigheder udskød ikrafttrædelsen af de nye bestemmelser, men nægtede dog at give afkald på at pålægge de luftfartsselskaber, som ikke overholdt lovgivningen om elektronisk adgang til PNR-oplysninger efter den 5. marts 2003, sanktioner. Siden da har flere større luftfartsselskaber etableret i Den Europæiske Union givet de amerikanske myndigheder adgang til deres PNR-oplysninger.

Europa- Parlamentets påstand:

  • Europa-Parlamentet har i stævningen i sag C-317/04 nedlagt påstand om annullation af Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT L 183, s. 83, berigtiget i EUT 2005 L 255, s. 168).
  • I stævningen i sag C-318/04 har Parlamentet nedlagt påstand om annullation af Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT L 235, s. 11, herefter »beslutningen om tilstrækkelig beskyttelse«).

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i de forende sager den 22. november 2005. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • I sag C-318/04 annulleres Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed.
  • I sag C-317/04 annulleres Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection.

Domsafsigelse:

EU-domstolen har den 30. maj 2006 afsagt dom i de forende sager, hvoraf følgende fremgår:

  • Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection, og Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) annulleres.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Tietosuojavaltuutettu

Sagsøgte i hovedsagen:

Satakunnan Markkinapörssi Oy og

Satamedia Oy

Faktum i hovedsagen:

Markkinapörssi indhentede i adskillige år offentlige oplysninger fra de finske skattemyndigheder med henblik på hvert år at offentliggøre uddrag af disse oplysninger i de regionale udgaver af bladet Veropörssi.

De oplysninger, der fremgik af publikationerne, omfattede for- og efternavn på ca. 1,2 mio. fysiske personer, hvis indkomst oversteg en bestemt grænse, samt, inden for 100 EUR’s nøjagtighed, disse personers løn- og kapitalindkomst samt oplysninger om beskatningen af deres formue. Disse oplysninger blev offentliggjort i form af en alfabetisk liste inddelt efter kommune og indkomstklasse.

Selv om bladet også indeholder artikler, resumeer og annoncer, er det væsentligste formål med bladet offentliggørelse af skatteoplysninger.

Markkinapörssi videregav på cd-rom de personoplysninger, som var offentliggjort i Veropörssi, til Satamedia, som er et andet selskab i de samme personers eje, med henblik på udbredelse af oplysningerne via en sms-tjeneste. De to selskaber indgik til dette formål en aftale med et mobiltelefonselskab, som for Satamedias regning oprettede en sms-tjeneste, der gjorde det muligt for mobiltelefonbrugere mod betaling af 2 EUR at modtage de oplysninger, der var offentliggjort i Veropörssi. Oplysningerne ville efter anmodning blive fjernet fra tjenesten.

På foranledning af klager indgivet af privatpersoner, som mente, at deres privatliv var blevet krænket, anmodede tietosuojavaltuutettu (finsk myndighed), som var ansvarlig for undersøgelsen af Markkinapörssis og Satamedias aktiviteter, den 10. marts 2004 tietosuojalautakunta (finsk mynidghed) om at forbyde selskaberne at fortsætte deres aktiviteter vedrørende behandlingen af de omhandlede personoplysninger.

Eftersom tietosuojalautakunta afslog denne anmodning, anlagde tietosuojavaltuutettu sag ved Helsingin hallinto-oikeus (forvaltningsdomstolen i Helsinki), som også forkastede søgsmålet. Tietosuojavaltuutettu appellerede derefter afgørelsen til Korkein hallinto-oikeus.

De præjudicielle spørgsmål:

1) Foreligger der en aktivitet, der skal betragtes som behandling af personoplysninger i den forstand, hvori udtrykket er anvendt i [direktivets] artikel 3, stk. 1, […] når oplysninger om fysiske personers løn- og kapitalindkomst samt formue

   a) indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse

   b) offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger

   c) videregives på en cd-rom med henblik på anvendelse i forretningsmæssigt øjemed

   d) behandles i en sms-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue?

2) Skal direktiv[et] fortolkes således, at de ovenfor i punkt 1a)-1d) nævnte handlinger kan betragtes som behandling af personoplysninger i journalistisk øjemed i direktivets artikel 9’s forstand, når henses til, at oplysningerne er indsamlet for over en million skattepligtige blandt oplysninger, der i henhold til finsk lovgivning om aktindsigt er offentlige? Har det for vurderingen af sagen betydning, at det primære formål med handlingen er offentliggørelse af de nævnte oplysninger?

3) Skal [direktivets] artikel 17 […], sammenholdt med direktivets principper og formål, fortolkes således, at offentliggørelse af oplysninger, der er indsamlet i journalistisk øjemed, og videregivelse af disse oplysninger med henblik på anvendelse i forretningsmæssigt øjemed er i strid med direktivet

4) Kan direktiv[et] fortolkes således, at personregistre, som kun indeholder materiale, der som sådant har været offentliggjort i medierne, falder helt uden for dets anvendelsesområde?«

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 8. maj 2008. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Der foreligger en adfærd, der skal betragtes som behandling af personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 3, stk. 1, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, når oplysninger om fysiske personers løn- og kapitalindkomst samt formue som beskrevet i forelæggelseskendelsen

   a) indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse

   b) offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger

   c) videregives på en CD-ROM med henblik på anvendelse i forretningsmæssigt øjemed eller

   d) behandles i en SMS-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue.

2) Behandling af personoplysninger som omhandlet i artikel 9 i direktiv 95/46 finder sted i journalistisk øjemed som omhandlet i artikel 9 i direktiv 95/46, hvis formålet er at formidle informationer og tanker om spørgsmål af offentlig interesse. Det påhviler den forelæggende ret på grundlag af alle objektive omstændigheder, der står til rådighed, at tage stilling til, om, og i givet fald i hvilket omfang, den omtvistede behandling af skatteoplysninger finder sted i journalistisk øjemed.

3) Artikel 17 i direktiv 95/46 regulerer ikke, om oplysninger, der er indsamlet i journalistisk øjemed, må offentliggøres og videregives med henblik på anvendelse i forretningsmæssigt øjemed.

4) Personregistre, som kun indeholder materiale, der som sådant har været offentliggjort i medierne, henhører under direktiv 95/46’s anvendelsesområde.

Domsafsigelse:

EU-domstolen har den 16. december 2008 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 3, stk. 1, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at der foreligger en aktivitet, der skal betragtes som »behandling af personoplysninger« i denne bestemmelses forstand, når oplysninger om fysiske personers løn- og kapitalindkomst samt formue:

  • indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse
  • offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger
  • videregives på en cd-rom med henblik på anvendelse i forretningsmæssigt øjemed
  • behandles i en sms-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue.

2) Artikel 9 i direktiv 95/46 skal fortolkes således, at de aktiviteter, der er nævnt i spørgsmål 1a)-1d) vedrørende oplysninger, der stammer fra dokumenter, som er offentligt tilgængelige i henhold til national lovgivning, skal anses for aktiviteter, der udgør behandling af personoplysninger, som udelukkende finder sted »i journalistisk øjemed« i denne bestemmelses forstand, såfremt nævnte aktiviteter udelukkende har til formål at udbrede oplysninger, synspunkter eller ideer til offentligheden, hvilket det tilkommer den forelæggende ret at vurdere.

3) Aktiviteter i form af behandling af personoplysninger som dem, der er omhandlet i spørgsmål 1c) og 1d) vedrørende personoplysninger fra offentlige myndigheders registre, som kun indeholder oplysninger, der som sådan allerede har været offentliggjort i medierne, henhører under anvendelsesområdet for direktiv 95/46.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

College van burgemeester en wethouders van Rotterdam

Sagsøgte i hovedsagen:

M.E.E. Rijkeboer

Det præjudicielle spørgsmål:

1) Er den tidsmæssige begrænsning i adgangen til at modtage information om, til hvem personoplysninger er videregivet, som er fastsat i [loven] til et år forud for indgivelsen af anmodningen herom, forenelig med [direktivets] artikel 12, litra a), eventuelt sammenholdt med direktivets artikel 6, stk. 1, litra e), og proportionalitetsprincippet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 22. december 2008. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Oplysninger om behandlingen, herunder de, der vedrører videregivelse til tredjeparter, er personoplysninger i henhold til artikel 2, litra a), Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. For at sikre den effektive virkning af direktiv 95/46 svarer fristen for slettelse af oplysninger om behandlingen til den fastsatte frist for personoplysningerne, uanset de rettigheder og forpligtelser, som det nævnte direktiv tildeler de tredjemænd, der modtager oplysningerne.

Artikel 6 og 12 i det omtalte direktiv 95/46 tillader ikke fristen på et år til udøvelse af retten til indsigt i behandlingen, forudsat at:

  • den registrerede ikke er blevet informeret om videregivelsen
  • vedkommende, såfremt denne er blevet informeret, ikke er blevet oplyst om fristens længde
  • vedkommende, såfremt denne er blevet informeret, ikke er blevet underrettet i tilstrækkelig grad om modtagernes identitet.

Det påhviler den registeransvarlige at bevise, at de nationale bestemmelser og den administrative praksis sikrer den registrerede en passende grad af information, som giver vedkommende mulighed for uhindret at udøve sin ret til indsigt.«

Domsafsigelse:

EU-domstolen har den 7. maj 2009 afsagt dom i sagen, hvoraf følgende fremgår:

  • Ifølge artikel 12, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er medlemsstaterne forpligtet til at fastsætte bestemmelser om retten til at modtage information vedrørende modtagerne eller kategorierne af modtagere af oplysninger og om indholdet af den videregivne information ikke blot hvad angår nutiden, men også hvad angår fortiden. Det tilkommer medlemsstaterne at fastsætte en frist for opbevaringen af denne information og om en tilsvarende adgang hertil, som udgør en rimelig afvejning mellem, på den ene side, hensynet til den registreredes interesse i beskyttelse af hans privatliv bl.a. i kraft af de aktionsmuligheder og retsmidler, som er fastsat i direktiv 95/46, og, på den anden side, hensynet til den byrde, som forpligtelsen til at opbevare denne information udgør for den registeransvarlige.
  • En lovgivning, som begrænser perioden for opbevaring af information om modtagerne eller kategorierne af modtagere af oplysninger og indholdet af de videregivne oplysninger til et år og begrænser adgangen til denne information til samme periode, selv om basisoplysningerne opbevares i meget længere tid, udgør ikke en rimelig afvejning af de pågældende interesser og forpligtelser, medmindre det godtgøres, at en længere opbevaring af denne information vil udgøre en uforholdsmæssig stor byrde for den registeransvarlige. Det tilkommer den nationale ret at foretage de nødvendige efterprøvelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Europa-Kommissionen

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Søgsmålet udspringer af en uoverensstemmelse mellem Kommissionen, støttet af den europæiske tilsynsførende for databeskyttelse, og Forbundsrepublikken Tyskland vedrørende fortolkningen af udtrykket »i fuld uafhængighed« i artikel 28, stk. 1, i direktiv 95/46, der vedrører den egentlige udøvelse af tilsynsmyndighedernes funktioner med hensyn til beskyttelse af personoplysninger.

Kommissionens stævning er begrundet i to formodninger. Ifølge den første formodning forpligter artikel 28, stk. 1, i direktiv 95/46 medlemsstaterne til at sørge for, at deres tilsynsmyndigheder for beskyttelse af personoplysninger er »fuldstændig uafhængige«. I replikken har Kommissionen præciseret, at det ikke drejer sig om en institutionel og organisatorisk uafhængighed men om en fuldstændig funktionel uafhængighed, hvilket betyder, at tilsynsmyndighederne for beskyttelse af personoplysninger skal være fritaget for enhver udefrakommende påvirkning under udøvelsen af deres opgaver.

Ifølge den anden formodning er det tilsyn, som medlemsstaten udøver over for sine tilsynsmyndigheder for beskyttelse af personoplysninger uden for den offentlige sektor, hvis tilstedeværelse ikke er anfægtet af Forbundsrepublikken Tyskland, der desuden har præciseret Kommissionens udsagn om de forskellige typer tilsyn (5), af en sådan beskaffenhed, at det krænker disse tilsynsmyndigheders fuldstændige uafhængighed, således som Kommissionen udlægger dette udtryk.

Forbundsrepublikken Tysklands forsvar bygger på en anden fortolkning af udtrykket »i fuld uafhængighed«, hvor fokus er på udøvelsen af de funktioner, som tilsynsmyndighederne for beskyttelse af personoplysninger er tillagt. Forbundsrepublikken Tyskland finder, at dette udtryk vedrører disse myndigheders funktionelle uafhængighed, som betegner en institutionel uafhængighed for så vidt angår deres organisation alene i forhold til de kontrollerede organer. I duplikken har Forbundsrepublikken Tyskland tilføjet, at det statslige tilsyn ikke frembyder nogen som helst udefrakommende påvirkning, idet tilsynsmyndighederne ikke er en ekstern tjeneste, men interne kontrolorganer i administrationen.

Kommissionen for De Europæiske Fællesskaber’s påstand:

Nedlagt påstand om, at det fastslås, at Forbundsrepublikken Tyskland, ved i henhold til lovgivningen i delstaterne at underlægge de myndigheder, der har til opgave at påse overholdelsen af de bestemmelser, der gennemfører Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (3) (herefter »tilsynsmyndigheder for beskyttelse af personoplysninger«), det statslige tilsyn over for ikke-offentlige organer, har tilsidesat sin forpligtelse til at sikre disse myndigheder fuld uafhængighed i henhold til artikel 28, stk. 1, andet afsnit, i direktiv 95/46.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. november 2009. Generaladvokaten anbefaler i sin udtalelse, at Domstolen træffer følgende afgørelse:

1) Forbundsrepublikken Tyskland frifindes.

Domsafsigelse:

EU-domstolen har den 9. marts 2010 afsagt dom i sagen, hvoraf følgende fremgår:

1) Forbundsrepublikken Tyskland har tilsidesat sine forpligtelser i henhold til artikel 28, stk. 1, andet afsnit, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ved at underlægge de nationale tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger, der foretages i de forskellige delstater af ikke-offentlige organer og offentligretlige virksomheder, der deltager i konkurrencen på markedet (öffentlich-rechtliche Wettbewerbsunternehmen), et statsligt tilsyn og således foretage en ukorrekt gennemførelse af kravet om, at disse myndigheder skal udøve deres funktioner »i fuld uafhængighed«.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Volker und Markus Schecke GbR (sag C-92/09),

Hartmut Eifert (sag C-93/09)

Sagsøgte i hovedsagen:

Land Hessen

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 4. maj 2009 blev sagerne C-92/09 og C-93/09 forenet med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen.

1) Er artikel [42], nr. 8b, og artikel 44a i […] forordning […] nr. 1290/2005 […], der blev indsat ved […] forordning […] nr. 1437/2007 […], ugyldige?

2) Er […] forordning […] nr. 259/2008

           a) ugyldig

           b) eller kun gyldig, fordi […] direktiv 2006/24 […] er ugyldigt?

Såfremt de i det første og det andet spørgsmål omhandlede bestemmelser er gyldige:

3) Skal artikel 18, stk. 2, andet led, i […] direktiv 95/46 […] fortolkes således, at offentliggørelsen i henhold til […] forordning […] nr. 259/2008 […] først må finde sted, når den i denne artikel fastsatte fremgangsmåde, som erstatter anmeldelsen til tilsynsmyndigheden, er gennemført?

4) Skal artikel 20 i […] direktiv 95/46 […] fortolkes således, at offentliggørelsen i henhold til […] forordning […] nr. 259/2008 […] først må finde sted, når den forudgående kontrol, som den nationale ret foreskriver i dette tilfælde, er foretaget?

5) Såfremt det fjerde spørgsmål besvares bekræftende: Skal artikel 20 i […] direktiv 95/46 […] fortolkes således, at der ikke foreligger en effektiv forudgående kontrol, hvis den er foretaget på grundlag af et register i henhold til artikel 18, stk. 2, andet led, i dette direktiv, som ikke omfatter en obligatorisk oplysning?

6) Skal artikel 7 – og i denne henseende navnlig litra e) – i […] direktiv 95/46 […] fortolkes således, at den er til hinder for en praksis, hvor IP-adresserne på brugerne af en hjemmeside lagres uden disses udtrykkelige samtykke?«

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i de forenede sager den 17. juni 2010. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Undersøgelsen af spørgsmål 1 har ikke afdækket forhold, der påvirker gyldigheden af artikel 42, nr. 8b), i Rådets forordning (EF) nr. 1290/2005 af 21. juni 2005 om finansiering af den fælles landbrugspolitik.

2) Artikel 44a i Rådets forordning (EF) nr. 1290/2005 er ugyldig, for så vidt som den kræver automatisk offentliggørelse af navn, bopælskommune og eventuelt postnummer på alle, som modtager støttemidler fra Den Europæiske Garantifond for Landbruget (EGFL) og Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) samt det beløb, som den enkelte modtager har modtaget fra disse fonde.

3) Kommissionens forordning (EF) nr. 259/2008 af 18. marts 2005 om gennemførelsesbestemmelser til Rådets forordning (EF) nr. 1290/2005 for så vidt angår offentliggørelsen af oplysninger om modtagerne af midler fra EGFL og ELFUL er ugyldig.

4) Spørgsmål 2b og 6 kan ikke antages til realitetsbehandling.

5) Det er ufornødent at besvare spørgsmål 3-5.

Domsafsigelse:

EU-domstolen har den 9. november 2010 afsagt dom i de forenede sager, hvoraf følgende fremgår:

1)  Artikel 42, nr. 8b, og artikel 44a i Rådets forordning (EF) nr. 1290/2005 af 21. juni 2005 om finansiering af den fælles landbrugspolitik, som ændret ved Rådets forordning (EF) nr. 1437/2007 af 26. november 2007, samt Kommissionens forordning (EF) nr. 259/2008 af 18. marts 2008 om gennemførelsesbestemmelser til forordning nr. 1290/2005 for så vidt angår offentliggørelsen af oplysninger om modtagerne af midler fra Den Europæiske Garantifond for Landbruget (EGFL) og Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) er ugyldige, for så vidt som disse bestemmelser vedrørende fysiske personer, der modtager midler fra EGFL og ELFUL, indebærer et krav om offentliggørelse af personoplysninger om enhver modtager uden at foretage en sondring i henhold til relevante kriterier, såsom i hvilken periode de har modtaget disse midler, hyppigheden af en sådan modtagelse eller midlernes art og omfang.

2) Ugyldigheden af de EU-retlige bestemmelser nævnt i denne konklusions punkt 1 indebærer ikke, at virkningerne af offentliggørelser af lister over modtagere af midler fra EGFL og ELFUL, der er foretaget af de nationale myndigheder på grundlag af de nævnte bestemmelser i perioden inden denne doms afsigelse, kan anfægtes.

3) Artikel 18, stk. 2, andet led, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at den person, der har ansvar for beskyttelse af personoplysninger, ikke er underlagt en forpligtelse til at føre et register som omhandlet i denne bestemmelse forud for iværksættelsen af en behandling af personoplysninger som den, der følger af artikel 42, nr. 8b, og artikel 44a i forordning nr. 1290/2005, som ændret ved forordning nr. 1437/2007, samt af forordning nr. 259/2008.

4) Artikel 20 i direktiv 95/46 skal fortolkes således, at den ikke forpligter medlemsstaterne til at underlægge den offentliggørelse, der følger af artikel 42, nr. 8b, og artikel 44a i forordning nr. 1290/2005, som ændret ved forordning nr. 1437/2007, samt af forordning nr. 259/2008, et krav om forudgående kontrol som omhandlet i den nævnte bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) (sag C-468/10)

Federación de Comercio Electrónico y Marketing Directo (FECEMD) (sag C-469/10)

Sagsøgte i hovedsagen:

Administración del Estado,

Faktum i hovedsagen:

Tribunal Supremo har anført, at spansk ret i tilfælde af, at den registrerede ikke har givet sit samtykke, med henblik på at muliggøre den behandling af sidstnævntes personoplysninger, som er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, foruden overholdelsen af den registreredes grundlæggende rettigheder og frihedsrettigheder kræver, at nævnte oplysninger fremgår af de registre, der er opregnet i artikel 3, litra j), i Ley Orgánica 15/1999. Tribunal Supremo er i denne forbindelse af den opfattelse, at denne lov og kongelig anordning nr. 1720/2007 begrænser rækkevidden af artikel 7, litra f), i direktiv 95/46.

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 26. oktober 2010 blev sagerne C-468/10 og C-469/10 forenet med henblik på den skriftlige og mundtlige forhandling samt dommen.    

1) Skal artikel 7, litra f), i […] direktiv 95/46 […] fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke, og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den registeransvarlige eller de tredjemænd, til hvem de videregives, kan forfølge en legitim interesse, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at oplysningerne er opført i offentligt tilgængelige kilder?

2) Opfylder [nævnte] artikel 7, litra f), de betingelser, som Den Europæiske Unions Domstols retspraksis kræver for at tillægge den direkte virkning?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU’s generaladvokat.

Domsafsigelse:

EU-domstolen har den 24. november 2011 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at nævnte oplysninger er opført i offentligt tilgængelige kilder, og således kategorisk og generelt udelukker enhver behandling af oplysninger, som ikke er opført i sådanne kilder.

2) Artikel 7, litra f), i direktiv 95/46 har direkte virkning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bonnier Audio AB

Earbooks AB

Norstedts Förlagsgrupp AB

Piratförlaget AB

Storyside AB

Sagsøgte i hovedsagen:

Perfect Communication Sweden AB

Faktum i hovedsagen:

Bonnier Audio m.fl. er forlag, der bl.a. har eneret til at fremstille 27 nærmere angivne bøger i lydbogsformat, til at udgive eksemplarer af værkerne samt til at stille værkerne til rådighed for almenheden.

Bonnier Audio m.fl. er af den opfattelse, at der er sket en krænkelse af deres eneret, idet disse 27 værker uden indehavernes samtykke er blevet gjort tilgængeligt for almenheden via en FTP-server (»file transfer protocol«), der gør det muligt at dele filer og overføre data mellem computere via internettet.

EPhone er den internetudbyder, der har stillet den internetforbindelse til rådighed, via hvilken den påståede ulovlige fildeling har fundet sted.

Bonnier Audio m.fl. anmodede Solna tingsrätt om at udstede påbud med henblik på at få oplyst navn og adresse på den person, der benyttede den IP-adresse, som angiveligt blev anvendt til at overføre de omhandlede filer i perioden fra den 1. april 2009, kl. 03.28, til den 1. april 2009, kl. 05.45.

De præjudicielle spørgsmål:

1) Er [direktiv 2006/24], navnlig artikel 3[-]5 og 11 heri, til hinder for anvendelsen af en national bestemmelse, der er indført i henhold til artikel 8 i [direktiv 2004/48], og som indebærer, at en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent tilpligtes at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget? Forudsætningen for dette spørgsmål er, at sagsøgeren har godtgjort, at der er konkrete indicier for, at der foreligger en krænkelse af visse ophavsrettigheder, og at foranstaltningen står i rimeligt forhold hertil?

2) Har det betydning for besvarelsen af spørgsmål 1, at medlemsstaten ikke har gennemført direktiv 2006/24, selv om fristen er udløbet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. november 2011. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF finder kun anvendelse på behandlingen af de personoplysninger, der er nævnt i direktivets artikel 1, stk. 1. Følgelig er direktivet ikke til hinder for en national bestemmelse, der indebærer, at retten kan pålægge en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget. Disse oplysninger skal imidlertid have været lagret med henblik på at kunne videregives og benyttes til dette formål i overensstemmelse med udførlige nationale bestemmelser, der er vedtaget under hensyntagen til de EU-retlige bestemmelser om beskyttelse af personoplysninger.

2) I lyset af besvarelsen af det første spørgsmål er det ufornødent at besvare det andet spørgsmål.

Domsafsigelse:

EU-domstolen har den 19. april 2012 afsagt dom i sagen, hvoraf følgende fremgår:

Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF skal fortolkes således, at det ikke er til hinder for anvendelse af en national lovgivning, der er indført i henhold til artikel 8 i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder, og som indebærer, at en internetudbyder med det formål at kunne identificere en internetabonnent eller ‑bruger kan tilpligtes at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en IP-adresse (internetprotokol-adresse), hvorfra den påståede krænkelse er foretaget, idet en sådan lovgivning ikke omfattes af det materielle anvendelsesområde for direktiv 2006/24.

Den omstændighed, at den pågældende medlemsstat endnu ikke har gennemført direktiv 2006/24, selv om fristen herfor er udløbet, er i hovedsagen uden relevans.

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) og direktiv 2004/48 skal fortolkes således, at de ikke er til hinder for en national lovgivning som den i hovedsagen omhandlede, for så vidt som denne lovgivning gør det muligt for den nationale retsinstans, til hvilken der indgives anmodning om udstedelse af et påbud om at videregive personoplysninger af en person, der har søgsmålskompetence, på grundlag af omstændighederne i den konkrete sag og under hensyntagen til de krav, der følger af proportionalitetsprincippet, at afveje de pågældende modstridende interesser mod hinanden.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Josef Probst

Sagsøgte i hovedsagen:

mr.nexnet GmbH

Faktum i hovedsagen:

Josef Probst har en telefonforbindelse hos Deutsche Telekom AG, via hvilken han også kobler sin computer til internettet. Han benyttede i perioden fra den 28. juni til den 6. september 2009 et nummer leveret af Verizon for at opnå engangsadgang til internettet. I første omgang blev Josef Probst debiteret de herfor opkrævede vederlag af Deutsche Telekom AG som »beløb fra andre udbydere«. Da Josef Probst ikke har betalt disse, har nexnet, til hvem fordringen er overgået på grundlag af en factoringkontrakt indgået mellem Verizon og nexnets forgængere, krævet betaling af de debiterede beløb forhøjet med diverse omkostninger. I henhold til factoringkontrakten overtog nexnet kreditrisikoen.

De præjudicielle spørgsmål:

1) Tillader artikel 6, stk. 2 og 5, i direktiv 2002/58 videregivelse af trafikdata fra tjenesteudbyderen til erhververen af et krav på vederlag for teletjenester, når der for overdragelsen, der har fundet sted med henblik på inddrivelse af tilbagedebiterede fordringer, foruden den generelle forpligtelse til at iagttage telehemmeligheden og databeskyttelsen i henhold til de til enhver tid gældende lovregler gælder følgende aftalevilkår:

  • Tjenesteudbyderen og erhververen forpligter sig til kun at behandle og bruge de beskyttede data inden for rammerne af deres samarbejde og udelukkende til det formål, der ligger til grund for aftalens indgåelse, og på den i aftalen angivne måde.
  • Så snart kendskabet til de beskyttede data ikke længere er nødvendigt af hensyn til opfyldelsen af dette formål, skal alle beskyttede data, der foreligger i denne sammenhæng, slettes uigenkaldeligt eller tilbageleveres.
  • Aftaleparterne har ret til at kontrollere, at databeskyttelsen og datasikkerheden iagttages hos den anden part i overensstemmelse med denne aftale.
  • De modtagne fortrolige dokumenter og oplysninger må kun gøres tilgængelige for medarbejdere, der har brug for disse med henblik på opfyldelsen af aftalen.
  • Aftaleparterne pålægger disse medarbejdere tavshedspligt i overensstemmelse med denne aftale.
  • Efter anmodning fra en aftalepart, dog senest når samarbejdet mellem aftaleparterne ophører, skal alle fortrolige oplysninger, der foreligger i denne sammenhæng, slettes uigenkaldeligt eller tilbageleveres til den anden aftalepart?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU-Domstolens generaladvokat.

Domsafsigelse:

EU-domstolen har den 22. november 2012 afsagt dom i sagen, hvoraf følgende fremgår:

Artikel 6, stk. 2 og 5, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at det er tilladt for en udbyder af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester at videregive trafikdata til erhververen af dens fordringer i forbindelse med levering af telekommunikationstjenester med henblik på inddrivelse heraf, og at det er tilladt for erhververen at behandle disse data på betingelse af for det første, at han handler efter bemyndigelse fra tjenesteudbyderen for så vidt angår behandlingen af disse data, og for det andet, at han begrænser sig til alene at behandle de trafikdata, som er nødvendig med henblik på de overdragede fordringers inddrivelse.

Uafhængigt af kvalificeringen af aftalen om overdragelse af fordringer handler erhververen efter bemyndigelse fra den pågældende tjenesteudbyder i den forstand, hvori udtrykket er anvendt i artikel 6, stk. 5, i direktiv 2002/58, når erhververen ved behandlingen af trafikdata alene handler ifølge udbyderens instruktioner og under dennes kontrol. Særligt skal aftalen mellem dem indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Worten – Equipamentos para o Lar SA

Sagsøgte i hovedsagen:

Autoridade para as Condições de Trabalho (ACT),

Faktum i hovedsagen:

Ved afgørelse af 14. marts 2012 fandt arbejdstilsynet, at Worten havde begået en alvorlig administrativ overtrædelse af arbejdslovgivningen, idet selskabet havde overtrådt bestemmelserne vedrørende registrering af arbejdstid i henhold til arbejdslovens artikel 202, stk. 1, for så vidt som det ikke gjorde det muligt for arbejdstilsynet på det omhandlede forretningssted at få umiddelbar adgang til arbejdstidsregisteret for de på stedet ansatte medarbejdere. Overtrædelsens alvor følger af den omstændighed, at arbejdstidsregistreret gør det muligt direkte og hurtigt at afgøre, hvorvidt organiseringen af et selskabs virksomhed er i overensstemmelse med lovgivningen om arbejdstid. Følgelig pålagde arbejdstilsynet Worten en bøde på 2 000 EUR.

Worten anlagde annullationssøgsmål til prøvelse af denne beslutning ved tribunal do trabalho de Viseu.

De præjudicielle spørgsmål:                

1) Skal artikel 2 i direktiv 95/46 […] fortolkes således, at begrebet »personoplysninger« bl.a. omfatter registrering af arbejdstid, dvs. angivelse af tidspunktet for den enkelte medarbejders påbegyndelse og afslutning af sin arbejdsdag, herunder pauser eller tidsrum, som ikke medregnes i arbejdstiden?

2) Såfremt det første spørgsmål besvares bekræftende, er den portugisiske stat da i henhold til artikel 17, stk. 1, i direktiv 95/46 […] forpligtet til at iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net?

3) Såfremt det andet spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang, i det tilfælde hvor en medlemsstat ikke iværksætter nogen foranstaltninger til opfyldelse af bestemmelsen i artikel 17, stk. 1, i direktiv 95/46 […], og hvor arbejdsgivervirksomheden, som er ansvarlig for behandlingen af de pågældende oplysninger, indfører et system med begrænset adgang til disse oplysninger, som ikke giver den kompetente nationale myndighed automatisk adgang hertil i forbindelse med dennes kontrol af arbejdsforholdene, da fortolkes således, at medlemsstaten ikke kan sanktionere arbejdsgivervirksomheden for denne adfærd?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU’s generaladvokat.

Domsafsigelse:

EU-domstolen har den 30. maj 2013 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, skal fortolkes således, at et arbejdstidsregister, som det i hovedsagen omhandlede, der for hver arbejdstager indeholder angivelsen af tidspunkterne for arbejdsdagens påbegyndelse og afslutning samt tilsvarende for afbrydelser eller pauser, er omfattet af begrebet »personoplysninger« i denne bestemmelses forstand.

2) Artikel 6, stk. 1, litra b) og c), samt artikel 7, litra c) og e), i direktiv 95/46 skal fortolkes således, at de ikke er til hinder for en national lovgivning, som den i hovedsagen omhandlede, der pålægger arbejdsgiveren en forpligtelse til at stille arbejdstidsregisteret til rådighed for den kompetente nationale myndighed på området for tilsyn med arbejdsvilkår på en måde, der muliggør umiddelbar aflæsning, for så vidt som denne forpligtelse er nødvendig med henblik på denne myndigheds gennemførelse af sine tilsynsopgaver med forvaltningen af lovgivningen på området for arbejdsvilkår, bl.a. for så vidt angår arbejdstid.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Michael Schwarz

Sagsøgte i hovedsagen:

Stadt Bochum

Faktum i hovedsagen:

Michael Schwarz ansøgte Stadt Bochum om udstedelse af et pas, men modsatte sig samtidig, at hans fingeraftryk blev optaget ved denne lejlighed. Efter at Stadt Bochum havde afslået hans ansøgning, anlagde Michael Schwarz sag ved den forelæggende ret med påstand om, at det blev pålagt denne by at udstede et pas til ham uden at optage hans fingeraftryk.

Michael Schwarz har for denne ret anfægtet gyldigheden af forordning nr. 2252/2004, hvormed forpligtelsen til at optage fingeraftryk fra pasansøgere blev indført. Michael Schwarz har gjort gældende, at denne forordning er støttet på en forkert hjemmel, og at den er behæftet med en procedurefejl. Endvidere tilsidesætter nævnte forordnings artikel 1, stk. 2, retten til beskyttelse af personoplysninger, der er forankret dels mere overordnet i artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) vedrørende retten til privatliv, dels udtrykkeligt i chartrets artikel 8

De præjudicielle spørgsmål:

Er artikel 1, stk. 2, i forordning [nr. 2252/2004] gyldig?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. juni 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Gennemgangen af det forelagte spørgsmål har intet frembragt, der kan rejse tvivl om gyldigheden af artikel 1, stk. 2, i Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 444/2009 af 28. maj 2009.

Domsafsigelse:

EU-domstolen har den 17. oktober 2013 afsagt dom i sagen, hvoraf følgende fremgår:

Gennemgangen af det forelagte spørgsmål har intet frembragt, der kan rejse tvivl om gyldigheden af artikel 1, stk. 2, i Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 444/2009 af 6. maj 2009.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digital Rights Ireland Ltd (sag C-293/12)

Sagsøgte i hovedsagen:

Minister for Communications, Marine and Natural Resources (sag C-293/12)

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Irland

The Attorney General

og

Kärntner Landesregierung (sag C-594/12)

Michael Seitlinger

Christof Tschohl m.fl.,

Faktum i hovedsagen:

Digital Rights anlagde den 11. august 2006 sag ved High Court, og selskabet anførte herved, at det er ejer af en mobiltelefon, som blev registreret den 3. juni 2006, og som det har anvendt siden denne dato. Digital Rights anfægter lovligheden af nationale lovgivningsmæssige og administrative foranstaltninger, der angår lagring af data vedrørende elektronisk kommunikation, og har bl.a. nedlagt påstand for den forelæggende ret om, at det fastslås, at såvel direktiv 2006/24 som Part 7 i Criminal Justice (Terrorist Offences) Act 2005 (straffelov af 2005 (terrorhandlinger)), hvorefter telekommunikationsudbydere skal lagre trafik- og lokaliseringsdata vedrørende telekommunikation i et tidsrum, der er fastsat i loven, med henblik på forebyggelse, afsløring, efterforskning eller forfølgning af kriminalitet og beskyttelse af statens sikkerhed, er ugyldige.

De præjudicielle spørgsmål:

Ved afgørelse truffet af Domstolens præsident den 11. juni 2013 blev sagerne C-293/12 og C-594/12 forenet med henblik på den mundtlige forhandling og dommen.

Sag C-293/12:

1) Er begrænsningen af sagsøgerens rettigheder hvad angår dennes brug af mobiltelefoni, der fremgår af kravene i artikel 3, 4 og 6 i direktiv 2006/24, uforenelig med artikel 5, stk. 4, TEU, for så vidt som den er uforholdsmæssig og unødvendig eller uhensigtsmæssig i forhold til at opfylde de lovlige mål om at:

   a) sikre, at der er adgang til visse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet

   og/eller

   b) sikre den rette funktion af Den Europæiske Unions indre marked?

2) Navnlig spørges, om

   a) direktiv 2006/24 er foreneligt med borgeres ret til at færdes og opholde sig frit på medlemsstaternes område, således som fastsat i artikel 21 TEUF

   b) direktiv 2006/24 er foreneligt med retten til privatliv, der er fastsat i chartrets artikel 7 og EMRK’s artikel 8

   c) direktiv 2006/24 er foreneligt med retten til beskyttelse af personlige oplysninger, således som fastsat i chartrets artikel 8

   d) direktiv 2006/24 er foreneligt med ytringsfriheden, således som fastsat i chartrets artikel 11 og EMRK’s artikel 10

   e) direktiv 2006/24 er foreneligt med retten til god forvaltning, således som fastsat i chartrets artikel 41.

3) I hvilket omfang kræver traktaterne – navnlig princippet om loyalt samarbejde, der er opstillet i artikel 4, stk. 3, [TEU] – at en national ret skal undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af direktiv 2006/24 er forenelige med den beskyttelse, der ydes med [chartret], herunder dettes artikel 7 (jf. EMRK’s artikel 8)?

 

Sag C-594/12:

1) Gyldigheden af retsakter udstedt af Unionens institutioner:

    Er artikel 3-9 i direktiv 2006/24 forenelige med [chartrets] artikel 7, 8 og 11 […]?

2)  Fortolkning af traktaterne:

   a) Skal der, set i lyset af forklaringerne til chartrets artikel 8, der i henhold til chartrets artikel 52, stk. 7, er udarbejdet som en vejledning ved fortolkningen af [dette], og som Verfassungsgerichtshof skal inddrage behørigt, tages samme hensyn til direktiv 95/46 og Europa-Parlamentets og Rådets forordning           (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [(EFT L 8, s. 1)] som til betingelserne i chartrets artikel 8, stk. 2, og artikel 52, stk. 1, ved         bedømmelsen af gyldigheden af indgreb?

   b)Hvilket forhold er der mellem »EU-retten« som nævnt i chartrets artikel 52, stk. 3, sidste punktum, og de databeskyttelsesretlige direktiver?

   c) Skal der, henset til, at direktiv 95/46/EF og forordning […] nr. 45/2001 indeholder betingelser og begrænsninger for udøvelse af den grundlæggende ret til databeskyttelse i henhold til chartret, ved fortolkning af [dettes] artikel 8 tages hensyn til ændringer, der følger af senere sekundærret?

   d) Følger det af princippet om overholdelse af det højeste beskyttelsesniveau, som opstilles i chartrets artikel 53, når der henses til chartrets artikel 52, stk. 4, at grænserne for tilladte sekundærretlige indskrænkninger skal drages snævrere?

   e) Kan der, henset til chartrets artikel 52, stk. 3, præamblens femte afsnit og forklaringerne til [dets] artikel 7, hvorefter de rettigheder, der sikres i artikel 7, svarer til dem, der er sikret ved EMRK’s artikel 8, udledes synspunkter af Den Europæiske Menneskerettighedsdomstols praksis vedrørende EMRK’s           artikel 8, som påvirker fortolkningen af chartrets artikel 8?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. december 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er i det hele uforeneligt med artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, idet den pligt til datalagring, som fastsættes i direktivet, begrænser udøvelsen af de grundlæggende rettigheder, uden at der er opstillet principper for de garantier, der er nødvendige for at regulere adgangen til og udnyttelsen af de nævnte data.

2) Artikel 6 i direktiv 2006/24 er ikke forenelig med artikel 7 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som medlemsstaterne derved pålægges at sikre, at de data, der er nævnt i direktivets artikel 5, lagres i en periode, der maksimalt kan udgøre to år.

Domsafsigelse:

EU-domstolen har den 8. april 2014 afsagt dom i sagen, hvoraf følgende fremgår:

Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er ugyldigt.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Google Spain SL,

Google Inc

Sagsøgte i hovedsagen:

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González

Faktum i hovedsagen:

Den 5. marts 2010 indgav Mario Costeja González, der er spansk statsborger med bopæl i Spanien, en klage til AEPD over La Vanguardia Ediciones SL, som udgiver en avis med et stort oplagstal, bl.a. i Catalonien (herefter »La Vanguardia«), samt over Google Spain og Google Inc. Klagen var baseret på den omstændighed, at internetbrugere ved en søgning på hans navn på Googlekoncernens søgemaskine (herefter »Google Search«) får vist et link til to sider i avisen La Vanguardia fra henholdsvis den 19. januar og den 9. marts 1998 med en annonce, der nævner Mario Costeja González’ navn vedrørende en tvangsauktion over fast ejendom i forbindelse med en beslaglæggelse på grund af gæld til den sociale sikringsordning.

Med klagen anmodede Mario Costeja González for det første om, at La Vanguardia blev pålagt enten at fjerne eller ændre disse sider, således at hans personoplysninger ikke længere fremgik, eller at anvende visse værktøjer i søgemaskinerne til beskyttelse af disse oplysninger. For det andet anmodede han om, at Google Spain eller Google Inc. blev pålagt at fjerne eller skjule hans personoplysninger, således at de ikke længere indgik i søgeresultaterne og ikke længere fremgik af linket til La Vanguardia. Mario Costeja González anførte herved, at den beslaglæggelse, som han havde været genstand for, havde været fuldstændig afgjort i flere år, og at det ikke havde nogen aktuel relevans at nævne den.

Ved afgørelse af 30. juli 2010 afviste AEPD klagen for så vidt angik La Vanguardia, idet dennes offentliggørelse af de omhandlede oplysninger var retligt begrundet, eftersom den skete efter ordre fra Arbejds- og Socialministeriet og havde til formål at gøre mest mulig reklame for auktionen med henblik på at opnå flest mulige tilbudsgivere.

For så vidt angik Google Spain og Google Inc. fik Mario Costeja González derimod medhold i klagen. AEPD fandt i denne forbindelse, at søgemaskineudbydere er undergivet lovgivningen om beskyttelse af personoplysninger, eftersom de foretager en behandling af oplysninger, som de er ansvarlige for, og optræder som mellemled i informationssamfundet. AEPD fandt, at det har beføjelse til at bestemme, at oplysningerne skal fjernes, og til at forbyde søgemaskineudbyderne adgang til visse oplysninger, når AEPD finder, at oplysningernes placering og formidling krænker den grundlæggende ret til beskyttelse af oplysninger og personers værdighed i bred forstand, hvilket også omfatter, at den berørte person blot ønsker, at tredjemand ikke kan gøre sig bekendt med disse oplysninger. Ifølge AEPD kan denne forpligtelse påhvile søgemaskineudbyderne direkte, uden at det er nødvendigt at slette oplysningerne eller informationerne på den webside, hvor de fremgår, bl.a. når opretholdelsen af oplysningerne på siden er begrundet i henhold til en lovbestemmelse.

De præjudicielle spørgsmål:

1) Hvad angår den territoriale anvendelse af direktiv 95/46 og følgelig de spanske databeskyttelsesregler:

     a) Kan der siges at foreligge en »virksomhed eller et organ« som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46, når der foreligger en eller flere af følgende situationer:

        - såfremt den virksomhed, der leverer søgemaskinen, i en medlemsstat etablerer en filial eller et datterselskab, der skal sørge for reklame og salg af reklameplads, der udbydes af søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat

        eller

       - såfremt modervirksomheden udpeger et datterselskab, der er etableret i denne medlemsstat, som sin repræsentant og registeransvarlige for to konkrete edb-registre, der har forbindelse til oplysninger om de kunder, der har indgået aftale med den nævnte virksomhed om visning af reklamer

       eller

       - såfremt kontoret eller datterselskabet, der er etableret i en medlemsstat, videregiver de anmodninger og krav, som både de berørte personer og de kompetente databeskyttelsesmyndigheder sender til kontoret eller datterselskabet, til modervirksomheden, der er etableret uden for Den Europæiske                  Union, selv om dette samarbejde foregår på frivilligt grundlag?

    b) Skal artikel 4, stk. 1, litra c), i direktiv 95/46 fortolkes således, at der anvendes »midler […], som befinder sig på den pågældende medlemsstats område«:

       - såfremt en søgemaskine gør brug af spiders eller robotter for at lokalisere og indeksere oplysninger fra websider, der befinder sig på servere i denne medlemsstat

       eller

      - såfremt der gøres brug af en medlemsstats domænenavn, og søgningerne og resultaterne organiseres afhængigt af denne medlemsstats sprog?

   c) Kan en midlertidig lagring af de af søgemaskinerne indekserede oplysninger fra internettet anses for at være anvendelse af midler som omhandlet i artikel 4, stk. 1, litra c), i direktiv 95/46? Såfremt det sidste spørgsmål besvares bekræftende, kan tilknytningskriteriet da siges at være opfyldt, når                      virksomheden under henvisning til konkurrencemæssige årsager nægter at oplyse, hvor den lagrer dette indeks?

   d) Uafhængigt af besvarelsen af ovenstående spørgsmål og især i tilfælde af, at Domstolen finder, at tilknytningskriterierne, der er fastsat i artikel 4 i direktiv 95/46, ikke foreligger:

       Skal [direktiv 95/46] da finde anvendelse i lyset af [chartrets] artikel 8 […] i den medlemsstat, hvor konfliktens tyngdepunkt befinder sig, og hvor der er mulighed for en mere effektiv beskyttelse af EU-borgernes rettigheder?

 

2) Hvad angår søgemaskinernes aktivitet som leverandør af oplysninger set i forhold til [direktiv 95/46]:

    a) For så vidt angår den internetaktivitet, der foretages af [Google Search] som leverandør af oplysninger, og som består i at lokalisere oplysninger, der er offentliggjort eller lagt på nettet af tredjemænd, indeksere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for                                internetbrugerne i en vis prioriteret orden, når oplysningerne indeholder personoplysninger om tredjemand […] skal en aktivitet som den beskrevne da fortolkes som værende omfattet af begrebet »behandling af personoplysninger« som omhandlet i artikel 2, litra b), i direktiv 95/46?

     b) Såfremt det foregående spørgsmål besvares bekræftende og i forhold til en aktivitet som beskrevet ovenfor: Skal artikel 2, litra d), i direktiv 95/46 fortolkes således, at den virksomhed, der forvalter [Google Search], er »registeransvarlig« for de personoplysninger, der er indeholdt på de websider, den               har indekseret?

     c) Såfremt det foranstående spørgsmål besvares bekræftende: Kan [AEPD], der skal beskytte de rettigheder, der er omhandlet i artikel 12, litra b), og artikel 14, litra a), i direktiv 95/46, rette direkte henvendelse til [Google Search] for at kræve, at denne virksomhed fra sit indeks fjerner oplysninger, der er           offentliggjort af tredjemand, uden først eller samtidigt at rette henvendelse til indehaveren af den webside, hvorpå disse oplysninger ligger?

     d) Såfremt det foregående spørgsmål besvares bekræftende:

         Bortfalder forpligtelsen for disse søgemaskiner til at overholde nævnte rettigheder da, når de oplysninger, der omfatter personoplysninger, er offentliggjort lovligt af tredjemand og fortsat fremgår af den oprindelige webside?

 

3) For så vidt angår rækkevidden af retten til sletning og retten til indsigelse i forhold til den såkaldte ret til at blive glemt forelægges følgende spørgsmål: 

Skal retten til sletning og blokering af oplysninger, der er reguleret i artikel 12, litra b), i direktiv 95/46, og retten til indsigelse, der er reguleret i samme direktivs artikel 14, litra a), fortolkes således, at de omfatter den berørte parts ret til at rette henvendelse til søgemaskinerne for at forhindre indeksering af den pågældendes personoplysninger, der er offentliggjort på tredjemands webside, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade eller ønsker, at de slettes, selv om der er tale om oplysninger, der er offentliggjort lovligt af tredjemand?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 25. juni 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Behandlingen af personoplysninger finder sted som led i den registeransvarliges virksomhed eller organ i den betydning, hvori udtrykket er anvendt i artikel 4, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, når den virksomhed, der leverer internetsøgemaskinen, i en medlemsstat etablerer et kontor eller et datterselskab, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat.

2) En udbyder af en internetsøgemaskine, hvis søgemaskine lokaliserer oplysninger, der er offentliggjort eller lagt på internettet af tredjemænd, registrerer disse automatisk, lagrer dem midlertidigt og sluttelig gør dem tilgængelige for internetbrugerne i en vis prioriteret orden, »behandler« personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra b), i direktiv 95/46, når disse oplysninger indeholder personoplysninger.

Udbyderen af internetsøgemaskinen kan imidlertid ikke anses for at være »registeransvarlig« for behandlingen af disse personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, med undtagelse af indholdet i søgemaskinens indeks, forudsat at tjenesteudbyderen ikke registrerer eller arkiverer personoplysninger i strid med websideudgiverens instrukser eller anmodninger.

3) Retten til sletning og blokering af oplysninger, der er reguleret i artikel 12, litra b), og retten til indsigelse, der er reguleret i artikel 14, litra a), i direktiv 95/46, skal fortolkes således, at de ikke indrømmer den berørte part ret til at rette henvendelse til søgemaskinerne for at forhindre registrering af den pågældendes personoplysninger, der er offentliggjort lovligt på tredjemands website, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade, eller ønsker, at de slettes.

Domsafsigelse:

EU-domstolen har den 13. maj 2014 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra b) og d), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en søgemaskines aktivitet, der består i at finde oplysninger, der er offentliggjort eller lagt på internettet af tredjemand, indeksere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for internetbrugerne i en vis prioriteret orden, for det første skal kvalificeres som »behandling af personoplysninger« som omhandlet i artikel 2, litra b), når oplysningerne indeholder personoplysninger, og for det andet skal udbyderen af denne søgemaskine anses for at være »registeransvarlig« som omhandlet i artikel 2, litra d).

2) Artikel 4, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en behandling af personoplysninger foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i bestemmelsen, når en søgemaskineudbyder etablerer en filial eller et datterselskab i en medlemsstat, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og hvis aktivitet er rettet mod indbyggerne i denne medlemsstat.

3) Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder med henblik på at overholde de rettigheder, der er fastsat i bestemmelserne, og for så vidt som de betingelser, der er fastsat i direktivet, faktisk er opfyldt, er forpligtet til fra den resultatliste, der vises efter en søgning på en persons navn, at fjerne link til websider, som er offentliggjort af tredjemand og indeholder oplysninger vedrørende denne person, også i det tilfælde, hvor dette navn eller disse oplysninger ikke forudgående eller samtidig slettes fra disse websider, og i givet fald selv når offentliggørelsen på disse sider i sig selv er lovlig.

4) Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at det inden for rammerne af bedømmelsen af betingelserne for disse bestemmelsers anvendelse bl.a. skal undersøges, om den berørte person har ret til, at den pågældende oplysning vedrørende personen på nuværende tidspunkt ikke længere knyttes til personens navn på en resultatliste, der vises efter en søgning på dette navn, uden at det med henblik på konstateringen af, at en sådan ret findes, dog herved er et krav, at inklusionen af den pågældende oplysning på resultatlisten skader den berørte person. Da den berørte person, henset til den pågældendes grundlæggende rettigheder i medfør af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, kan anmode om, at den pågældende oplysning ikke længere stilles til rådighed for den brede offentlighed ved sin inklusion på en sådan resultatliste, går disse rettigheder i princippet forud for ikke blot søgemaskineudbyderens økonomiske interesse, men også for offentlighedens interesse i at få adgang til nævnte oplysning ved en søgning på denne persons navn. Dette er imidlertid ikke tilfældet, såfremt det af særlige grunde, såsom den rolle, som nævnte person har i det offentlige liv, fremgår, at indgrebet i personens grundlæggende rettigheder er begrundet i offentlighedens vægtige interesse i at have adgang til den pågældende oplysning via inklusionen på resultatlisten.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

YS (sag C-141/12)

Minister voor Immigratie, Integratie en Asiel (sag C-372/12)

Sagsøgte i hovedsagen:

Minister voor Immigratie, Integratie en Asiel (sag C-141/12)

M og

S (sag C-372/12)

Faktum i hovedsagen:

En sagsbehandler ved afdelingen for indvandring og indfødsret, som skal behandle en ansøgning om opholdstilladelse, og som ikke har underskriftskompetence, udarbejder et udkast til afgørelse, som forelægges en af afdelingens seniorbehandlere til vurdering. Udkastet vedlægges et dokument, hvori sagsbehandleren for seniorbehandleren redegør for, på hvilket grundlag han er nået frem til udkastet til afgørelse (herefter »redegørelsen«). Når sagsbehandleren selv har underskriftskompetence, forelægges redegørelsen ikke en seniorbehandler, men anvendes som begrundelse i den beslutningsproces, der skal begrunde afgørelsen internt. Redegørelsen er en del af afdelingens forberedende proces, men den er ikke en del af den endelige afgørelse, selv om visse af de betragtninger, der fremgår af redegørelsen, kan være gentaget i afgørelsens begrundelse.

Redegørelsen indeholder generelt følgende oplysninger: navn, telefon- og kontornummer på den sagsbehandler, der skal forberede afgørelsen, rubrikker til seniorbehandlerens navn og parafering, oplysninger vedrørende ansøgeren såsom navn, fødselsdato, nationalitet, køn, etnisk tilhørsforhold, religion og sprog, oplysninger vedrørende sagens forløb, oplysninger vedrørende ansøgerens forklaringer og fremlagte dokumenter, de retsregler, der finder anvendelse, og endelig en bedømmelse af de nævnte oplysninger i lyset af de retsregler, der finder anvendelse. Denne bedømmelse benævnes »juridisk analyse«.

Den juridiske analyse kan have et meget forskelligt omfang fra sag til sag, idet den kan være fra nogle få sætninger til flere sider. I en udførlig juridisk analyse behandler den sagsbehandler, der skal forberede afgørelsen, f.eks. troværdigheden af de afgivne forklaringer, og der redegøres for, hvorfor en ansøger efter sagsbehandlerens vurdering er eller ikke er berettiget til en opholdstilladelse. En summarisk analyse kan være begrænset til blot at henvise til en bestemt forvaltningspraksis.

Frem til den 14. juli 2009 var det ministerens praksis efter anmodning at fremsende redegørelserne. Da ministeren imidlertid fandt, at det store antal anmodninger skabte en for stor arbejdsbyrde, at de registrerede ofte foretog en fejlfortolkning af de juridiske analyser i de redegørelser, de fik fremsendt, samt at disse redegørelser som følge af fremsendelsen i stadigt mindre omfang indeholdt meningsudvekslingen inden for afdelingen for indvandring og indfødsret, opgav ministeren denne praksis.

Siden da er anmodninger om fremsendelse af en redegørelse systematisk blevet afslået. I stedet for en kopi af redegørelsen modtager ansøgeren nu en oversigt over de personoplysninger, der er indeholdt i dokumentet, herunder information om, hvorfra disse oplysninger stammer, og i givet fald oplysninger om de organer, som oplysningerne er blevet videregivet til.

De præjudicielle spørgsmål:

Ved afgørelse af 30. april 2013 blev sagerne C-141/12 og C-372/12 forenet med henblik på den mundtlige forhandling og dommen

Sag C-141/12:

1) Er de oplysninger, der optages i [redegørelsen] om den pågældende person, og som vedrører denne, personoplysninger som omhandlet i artikel 2, litra a), i direktiv [95/46]?

2) Er den juridiske analyse, der optages i [redegørelsen], en personoplysning som omhandlet i den førnævnte bestemmelse?

3) Såfremt Domstolen bekræfter, at de ovennævnte oplysninger er personoplysninger, skal sagsbehandleren/myndigheden da også give indsigt i disse personoplysninger i henhold til artikel 12 i direktiv [95/46] og [chartrets] artikel 8, stk. 2 […]?

4) Kan den pågældende person i denne sammenhæng også direkte påberåbe sig chartrets artikel 41, stk. 2, litra b), og i bekræftende fald, skal det heri indeholdte udtryk »under iagttagelse af legitime fortrolighedshensyn [under beslutningsprocessen]« da fortolkes således, at [retten til] indsigt i redegørelsen kan afslås på dette grundlag?

5) Såfremt den pågældende person søger om indsigt i rapporten, skal sagsbehandleren/myndigheden da stille en kopi af dette dokument til rådighed for at opfylde kravet til aktindsigt?

 

Sag C-372/12:

1) Skal artikel 12, litra a), andet led, i [direktiv 95/46] fortolkes således, at der består en ret til at få kopi af dokumenter, hvori der behandles personoplysninger, eller er det tilstrækkeligt, at der meddeles en fuldstændig og letforståelig oversigt over de personoplysninger, der behandles i de pågældende dokumenter?

2) Skal ordene »ret til adgang« i [chartrets] artikel 8, stk. 2 […] fortolkes således, at der består en ret til at få kopi af dokumenter, hvori der behandles personoplysninger, eller er det tilstrækkeligt, at der meddeles en fuldstændig og letforståelig oversigt over de personoplysninger, der behandles i de pågældende dokumenter, jf. artikel 12, litra a), andet led, i [direktiv 95/46]?

3) Er [chartrets] artikel 41, stk. 2, litra b), […] også rettet til medlemsstaterne, for så vidt som bestemmelsen gennemfører EU-retten som omhandlet i [chartrets] artikel 51, stk. 1, […]?

4) Udgør den omstændighed, at de grunde, der har ført til at foreslå en given afgørelse, som følge af retten til indsigt i redegørelserne ikke længere gengives i disse, hvilket ikke gavner den interne uforstyrrede meningsudveksling inden for den pågældende myndighed og en korrekt beslutningsdannelse, et legitimt fortrolighedshensyn som omhandlet i [chartrets] artikel 41, stk. 2, litra b), […]?

5) Kan en juridisk analyse, således som den optages i [en redegørelse], betragtes som en »personoplysning« som omhandlet i artikel 2, litra a), i [direktiv 95/46]?

6) Omfatter beskyttelsen af andres rettigheder og frihedsrettigheder som omhandlet i artikel 13, stk. 1, litra g), i [direktiv 95/46] også hensynet til en intern uforstyrret meningsudveksling inden for den pågældende myndighed? Såfremt dette ikke er tilfældet, kan dette hensyn da falde under direktivets artikel 13, stk. 1, litra d) eller f)?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. december 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Faktiske oplysninger, der vedrører en identificeret eller identificerbar fysisk person, udgør »personoplysninger« som omhandlet i artikel 2, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Den begrundelse, der ligger til grund for afgørelsen af et retligt spørgsmål – som omfatter en juridisk klassificering af oplysninger, der vedrører en identificeret eller identificerbar person og vurderingen heraf på baggrund af den gældende ret – er dog ikke omfattet af dette direktivs definition af »personoplysninger«. Medlemsstaterne har derfor ikke i henhold til direktiv 95/46 pligt til at give aktindsigt i en sådan juridisk analyse, når den er indeholdt i et internt dokument, som også indeholder personoplysninger.

2) Ifølge artikel 12 i direktiv 95/46 skal en registreret gives aktindsigt i oplysninger, som er omfattet af direktivets definition af »personoplysninger«, medmindre en sådan aktindsigt er begrænset eller undtaget i henhold til direktivets artikel 13.

3) Direktiv 95/46 fastsætter ikke en ret til aktindsigt i et hvilket som helst eller alle dokumenter eller registreringer, hvori personoplysninger er optaget eller anvendt. Det fastsætter heller ikke den materielle form, hvori personoplysningerne skal meddeles. Ifølge direktivets artikel 12 har medlemsstaterne en betydelig skønsmargin til at træffe beslutning om, i hvilken form der skal gives aktindsigt i personoplysninger. I forbindelse med denne vurdering skal medlemsstaterne navnlig tage hensyn til i) den eller de materielle former, som de pågældende oplysninger foreligger i og kan meddeles til den registrerede, ii) typen af personoplysninger og iii) formålet med retten til aktindsigt.

4) Beskyttelsen af andres rettigheder og frihedsrettigheder i artikel 13, stk. 1, litra g), i direktiv 95/46 omfatter ikke de rettigheder og frihedsrettigheder, der tilkommer den myndighed, der behandler personoplysningerne. Der er heller ingen forbindelse mellem interessen i en intern uforstyrret meningsudveksling inden for den pågældende offentlige myndighed og de interesser, som er beskyttet ved direktivets artikel 13, stk. 1, litra d) eller f).

5) Artikel 41 i Den Europæiske Unions charter om grundlæggende rettigheder fastsætter rettigheder, der kan påberåbes over for Unionens institutioner, organer, kontorer og agenturer, og kan derfor ikke finde anvendelse på personoplysninger og andre oplysninger, som indehaves af en medlemsstat.

Domsafsigelse:

EU-domstolen har den 17. juli 2014 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at de oplysninger vedrørende en ansøger om opholdstilladelse, der er indeholdt i et administrativt dokument såsom den i hovedsagerne omhandlede »redegørelse«, hvori er angivet sagsbehandlerens begrundelse for det udkast til afgørelse, som sagsbehandleren skal udarbejde i forbindelse med proceduren til forberedelse af vedtagelsen af en afgørelse vedrørende ansøgningen om opholdstilladelse, og de oplysninger om den pågældende, der i givet fald er indeholdt i dette dokuments juridiske analyse, udgør »personoplysninger« som omhandlet i denne bestemmelse, idet den juridiske analyse derimod ikke i sig selv kan kvalificeres på samme måde.

2) Artikel 12, litra a), i direktiv 95/46 og artikel 8, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at en ansøger om opholdstilladelse har ret til indsigt i alle de personoplysninger om den pågældende selv, som de nationale administrative myndigheder har gjort til genstand for behandling som omhandlet i direktivets artikel 2, litra b). Med henblik på at imødekomme denne ret er det tilstrækkeligt, at denne ansøger tilstilles en fuldstændig oversigt over disse oplysninger i en letforståelig form, dvs. en form, der gør det muligt for denne ansøger at opnå kendskab til nævnte oplysninger og at kontrollere, om de er korrekte og behandles i overensstemmelse med direktivet, således at ansøgeren i givet fald kan udøve de rettigheder, som den pågældende er tillagt i henhold til direktivet.

3) Artikel 41, stk. 2, litra b), i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at en ansøger om opholdstilladelse ikke kan påberåbe sig denne bestemmelse over for de nationale myndigheder.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

František Ryneš

Sagsøgte i hovedsagen:

Úřad pro ochranu osobních údajů,

Faktum i hovedsagen:

I perioden mellem den 5. oktober 2007 og den 11. april 2008 benyttede František Ryneš et kamera anbragt under tagskægget på hans familiebolig. Kameraet var anbragt i en fastlåst position, og det kunne ikke dreje. Det filmede indgangen til huset, den offentlige vej og indgangen til genboens hus. Systemet foretog udelukkende visuelle optagelser, som kontinuerligt blev opbevaret på en optagerenhed, dvs. en harddisk. Harddisken blev overspillet hver gang, der ikke var mere plads tilbage på optagerenheden. Optagerenheden var ikke udstyret med en skærm, og billedet kunne således ikke ses i realtid. Det var kun František Ryneš, som havde direkte adgang til systemet og dets oplysninger.

De præjudicielle spørgsmål:

  • Kan anvendelsen af et kamerasystem, som er installeret i en familiebolig med henblik på at beskytte boligens ejeres ejendom, sundhed og liv, kvalificeres som behandling af personoplysninger, »som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter« som omhandlet i artikel 3, stk. 2, i direktiv 95/46[…], selv om et sådant system også overvåger et offentligt rum?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 10. juli 2014. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • Anvendelsen af et kamerasystem, som er installeret i en familiebolig med henblik på at beskytte dens ejeres ejendom, sundhed og liv, men som også overvåger et offentligt rum, kvalificeres ikke som behandling af personoplysninger, som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter som omhandlet i artikel 3, stk. 2, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Domsafsigelse:

EU-domstolen har den 11. december 2014 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 3, stk. 2, andet led, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at anvendelsen af et kamerasystem, der anvendes til at optage videoer af personer, der kontinuerligt bliver opbevaret på en optagerenhed, såsom en harddisk, hvilket system er blevet installeret af en fysisk person på den pågældendes familiebolig med henblik på at beskytte boligens ejeres ejendom, sundhed og liv, idet dette system også overvåger et offentligt rum, ikke udgør behandling af personoplysninger, som foretages med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Maximillian Schrems

Sagsøgte i hovedsagen:

Data Protection Commissioner

Faktum i hovedsagen:

Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008.

Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, er i forbindelse med sin registrering forpligtet til at indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for en behandling.

Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige anmodede denne om at udøve sine vedtægtsmæssige beføjelser ved at forbyde Facebook Ireland at videregive hans personoplysninger til USA. Han gjorde heri gældende, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Maximillian Schrems henviste i denne henseende til Edward Snowdens afsløringer om de amerikanske efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (herefter »NSA«).

Maximillian Schrems har anlagt sag ved High Court (øverste retsinstans) til prøvelse af den i hovedsagen omhandlede afgørelse. High Court har efter at have gennemgået de af hovedparterne fremlagte præmisser fastslået, at den elektroniske overvågning og opfangning af personoplysninger overført fra Unionen til USA tjener nødvendige og ufravigelige mål i offentlighedens interesse. High Court har imidlertid tilføjet, at Edward Snowdens afsløringer har vist, at NSA og andre forbundsmyndigheder »er gået for vidt i en betydelig grad«.

High Court har b.la. anført, at Maximillian Schrems i forbindelse med sit søgsmål i realiteten har rejst indsigelse mod lovligheden af den safe harbor-ordning, der er indført ved beslutning 2000/520, og som den i hovedsagen omhandlede afgørelse vedrører. Selv om Maximillian Schrems formelt således hverken har bestridt gyldigheden af direktiv 95/46 eller af beslutning 2000/520, er High Court derfor af den opfattelse, at spørgsmålet opstår, om Commissioner som følge af direktivets artikel 25, stk. 6, var bundet af den konstatering, som Kommissionen har foretaget i den nævnte beslutning, og hvorefter USA sikrer et tilstrækkeligt beskyttelsesniveau, eller om chartrets artikel 8 efter omstændighederne tillod Commissioner at se bort fra en sådan konstatering.

De præjudicielle spørgsmål:

1) Er en uafhængig person – der ved lov er tillagt opgaven med administration og håndhævelse af databeskyttelseslovgivningen – ved vurderingen af en klage, der er blevet indgivet til den pågældende, over, at personoplysninger overføres til et tredjeland (i dette tilfælde USA), hvis lovgivning og praksis det påstås ikke indeholder tilstrækkelig beskyttelse for datasubjektet, fuldstændig bundet af konklusionen i en fællesskabsundersøgelse, hvori der konkluderes det modsatte, og som er indeholdt i beslutning 2000/520, henset til chartrets artikel 7, […] 8 og […] 47, og dette trods bestemmelserne i artikel 25, stk. 6, i direktiv 95/46?

2) Eller alternativt kan og/eller skal den person, der varetager hvervet, foretage en egen undersøgelse af forholdet i lyset af den mellemliggende udvikling i de faktiske omstændigheder, der har fundet sted, siden Kommissionens beslutning blev offentliggjort?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 23. september 2015. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • Artikel 28 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal, henset til artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den omstændighed, at Europa-Kommissionen har vedtaget en beslutning på grundlag af artikel 25, stk. 6, i direktiv 95/46, ikke er til hinder for, at en national tilsynsmyndighed undersøger en klage, hvori det hævdes, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår de overførte personoplysninger, og i givet fald suspenderer den omtvistede overførsel heraf.
  • Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium er ugyldig.

Domsafsigelse:

EU-domstolen har den 6. oktober 2015 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003, sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium, hvorved Europa-Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i artikel 28 i direktivet, som ændret, behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.

2) Beslutning 2000/520/EF er ugyldig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Patrick Breyer

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Patrick Breyer foretog søgninger på flere tyske forbundsinstitutioners internetsider. På disse sider, der er tilgængelige for offentligheden, stiller de nævnte institutioner aktuel information til rådighed.

Med henblik på at afværge angreb og gøre det muligt at forfølge »angriberne« strafferetligt foretages der for de fleste af disse internetsiders vedkommende registrering af alle søgninger i logfiler. Heri opbevares efter søgningen på de nævnte sider navnet på den side eller fil, der er blevet søgt på, udtryk, der er blevet indtastet i søgefelter, tidspunktet for søgningen, den overførte datamængde, meldingen om, hvorvidt søgningen lykkedes, og ip-adressen på den computer, hvorfra søgningen er blevet foretaget.

Patrick Breyer anlagde sag ved de tyske forvaltningsdomstole med påstand om, at det blev forbudt Forbundsrepublikken Tyskland – efter søgninger på offentligt tilgængelige sider tilhørende de tyske forbundsinstitutioners online-medier – at opbevare eller gennem tredjemand at opbevare ip-adressen på Patrick Breyers værtssystem, for så vidt som denne opbevaring ikke var nødvendig for i tilfælde af funktionssvigt at genetablere disse mediers formidling.

De præjudicielle spørgsmål:

1) Skal artikel 2, litra a), i [...] direktiv 95/46[...] fortolkes således, at en [ip-adresse], som en [udbyder af online-medietjenester] lagrer i forbindelse med en søgning på dennes websted, allerede udgør en personoplysning for [denne udbyders vedkommende], hvis en tredjemand (her: internetudbyder) råder over den yderligere viden, der kræves for at kunne identificere den [registrerede]?

2) Er [dette direktivs] [...] artikel 7, litra f), til hinder for en bestemmelse i national ret, hvorefter [udbyderen af online-medietjenester] kun må indsamle og anvende personoplysninger om en bruger uden samtykke fra denne, i det omfang dette er nødvendigt for at kunne afregne og give den pågældende bruger adgang til konkret at benytte [online-mediet], og hvorefter formålet om at sikre [online-mediets] generelle funktionsdygtighed ikke kan begrunde, at personoplysningerne anvendes, også efter at brugeren har afsluttet sin konkrete søgning på webstedet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. maj 2016. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) I henhold til artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger udgør en dynamisk ip-adresse, hvormed en bruger har besøgt et websted fra en udbyder af telekommunikationstjenester, en »personoplysning« for sidstnævnte, for så vidt som en internetudbyder råder over yderligere viden, som, sammenholdt med den dynamiske ip-adresse, gør det muligt at identificere brugeren.

2) Artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at formålet med at sikre telekommunikationstjenestens generelle funktionsdygtighed i princippet kan betragtes som en legitim interesse, hvis opfyldelse begrunder, at disse personoplysninger anvendes, hvilket er betinget af en vurdering af, hvorvidt denne interesse har forrang for den berørte persons interesser eller grundlæggende rettigheder. En national bestemmelse, der ikke giver mulighed for at tage højde for denne legitime interesse, er ikke forenelig med nævnte artikel.

Domsafsigelse:

EU-domstolen har den 19. oktober 2016 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en dynamisk internetprotokoladresse, som en udbyder af online-medietjenester registrerer i forbindelse med en søgning foretaget af en person på en internetside, som denne udbyder gør tilgængelig for offentligheden, i forhold til den nævnte udbyder udgør en personoplysning som omhandlet i denne bestemmelse, når udbyderen råder over lovlige hjælpemidler, der gør det muligt for denne at få identificeret den registrerede gennem den yderligere viden, som denne persons internetudbyder råder over.

2) Artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at den er til hinder for en lovgivning i en medlemsstat, hvorefter en udbyder af online-medietjenester kun må indsamle og anvende personoplysninger om en bruger af disse tjenester uden samtykke fra denne, i det omfang denne indsamling og denne anvendelse er nødvendig for at give adgang til og afregne for den konkrete anvendelse af de nævnte tjenester foretaget af denne bruger, uden at formålet om at sikre de samme tjenesters generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på disse tjenester.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Tietosuojavaltuutettu

Sagsøgte i hovedsagen:

Jehovan todistajat – uskonnollinen yhdyskunta

Faktum i hovedsagen:

Den 17. september 2013 vedtog databeskyttelseskommissionen efter anmodning fra den tilsynsførende myndighed for databeskyttelse en afgørelse, hvorved trossamfundet Jehovas Vidner fik forbud mod at indsamle eller behandle personoplysninger i forbindelse med den forkyndelsesvirksomhed fra dør til dør, som trossamfundets medlemmer foretog, uden at de lovmæssige betingelser for behandlingen af disse oplysninger, som er foreskrevet i artikel 8 og 12 i lov nr. 523/1999, blev overholdt. Derudover pålagde databeskyttelseskommissionen på grundlag af denne lovs § 44, stk. 2, dette trossamfund at sørge for inden for en frist på seks måneder, at ingen personoplysninger blev indsamlet til brug af dette trossamfund, uden at disse betingelser blev overholdt.

Trossamfundet Jehovas Vidner anlagde sag til prøvelse af denne afgørelse ved Helsingin hallinto-oikeus (forvaltningsdomstolen i Helsinki, Finland). Den ret annullerede nævnte afgørelse ved dom af 18. december 2014 med den begrundelse bl.a., at trossamfundet Jehovas Vidner ikke var ansvarlig for behandlingen af personoplysninger som omhandlet i lov nr. 523/1999, og at trossamfundets virksomhed ikke udgjorde en ulovlig behandling af sådanne oplysninger.

Den tilsynsførende myndighed for databeskyttelse appellerede denne dom til Korkein hallinto-oikeus (den øverste forvaltningsdomstol, Finland).

De præjudicielle spørgsmål:

1) Skal undtagelserne fra anvendelsesområdet [for direktiv 95/46, der er foreskrevet i direktivets artikel 3, stk. 2, første og andet led], fortolkes således, at den indsamling og behandling af personoplysninger, som udføres af medlemmerne af et trossamfund i forbindelse med deres forkyndelsesvirksomhed fra dør til dør, ikke er omfattet af direktivets anvendelsesområde? Hvilken betydning har det for bedømmelsen af, om [direktiv 95/46] finder anvendelse, for det første at den forkyndelsesvirksomhed, som oplysningerne indsamles i forbindelse med, organiseres af trossamfundet og dets menigheder, og for det andet at det samtidig også drejer sig om den personlige religionsudøvelse for trossamfundets medlemmer?

2) Skal definitionen af begrebet »register« i […] artikel 2, litra c), [i direktiv 95/46] under hensyntagen til 26. og 27. betragtning til direktivet fortolkes således, at den samling af personoplysninger, som indsamles i forbindelse med den ovenfor beskrevne forkyndelsesvirksomhed fra dør til dør på en ikke-elektronisk måde (navn og adresse samt eventuelle andre oplysninger om og karakteriseringer af personen),

  a) ikke udgør et sådant register, fordi [den ikke indeholder] specifikke kartoteker eller fortegnelser eller lignende systemer, som anvendes til søgning, som omhandlet i lov nr. 523/1999], eller

  b) udgør et sådant register, fordi det blandt oplysningerne under hensyntagen til deres anvendelsesformål faktisk er muligt let og uden urimelige omkostninger at udtrække oplysninger, der er nødvendige for en senere anvendelse, sådan som dette er fastsat i [lov nr. 523/1999]?

3) Skal formuleringen i […] artikel 2, litra d), [i direktiv 95/46], »der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«, fortolkes således, at et trossamfund, som organiserer en aktivitet, hvorunder der indsamles personoplysninger (bl.a. gennem inddelingen af forkyndernes aktionsområder, opfølgning på forkyndelsesvirksomheden, og idet der føres registre over personer, som ikke ønsker at få besøg af forkynderne), for så vidt angår denne aktivitet for medlemmerne kan anses for den registeransvarlige, selv om trossamfundet gør gældende, at kun enkelte forkyndere har adgang til de registrerede oplysninger?

4) Skal […] artikel 2, litra d), [i direktiv 95/46] fortolkes således, at trossamfundet kun kan klassificeres som den registeransvarlige, hvis det træffer andre specifikke foranstaltninger såsom instruktioner eller skriftlige anvisninger, hvormed det styrer indsamlingen af oplysninger, eller er det tilstrækkeligt, at trossamfundet spiller en faktisk rolle i styringen af medlemmernes aktiviteter?

Det er kun nødvendigt at besvare tredje og fjerde spørgsmål i tilfælde af, at [direktiv 95/46] finder anvendelse som følge af svarene på første og andet spørgsmål. Det er kun nødvendigt at besvare fjerde spørgsmål i tilfælde af, at det som følge af besvarelsen af tredje spørgsmål ikke kan udelukkes, at […] artikel 2, litra d), [i direktiv 95/46] finder anvendelse på et trossamfund.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 1. februar 2018. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) En forkyndelsesvirksomhed fra dør til dør, såsom den i hovedsagen omhandlede, er ikke omfattet af den undtagelse, der er fastsat i artikel 3, stk. 2, andet led, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

2) Artikel 3, stk. 1, i direktiv 95/46, sammenholdt med det nævnte direktivs artikel 2, litra c), skal fortolkes således, at den samlede mængde personlysninger, som et trossamfunds medlemmer indsamler i forbindelse med en virksomhed, såsom den i hovedsagen omhandlede, på en ikke-elektronisk måde, på grundlag af en bestemt geografisk fordeling og med det formål at forberede senere besøg hos de personer, som de har indledt en religiøs samtale med, kan udgøre et register. 

3) Artikel 2, litra d), i direktiv 95/46 skal fortolkes således, at et trossamfund, der organiserer forkyndelsesvirksomhed, i hvilken forbindelse der indsamles personoplysninger, kan klassificeres som den registeransvarlige, selv om dette trossamfund ikke selv har adgang til de personoplysninger, som dets medlemmer indsamler. Med henblik på fastlæggelsen af »den registeransvarlige« som omhandlet i direktiv 95/46 er det ikke et krav, at der foreligger skriftlige anvisninger, men det skal kunne fastslås, i givet fald på grundlag af en række indicier, at den registeransvarlige er i stand til at udøve en faktisk indflydelse på den aktivitet, der består af indsamling og behandling af personoplysninger, hvilket det tilkommer den forelæggende ret at efterprøve.

Domsafsigelse:

EU-domstolen har den 10. juli 2018 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 3, stk. 2, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 10, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at et trossamfunds medlemmers indsamling af personoplysninger i forbindelse med forkyndelsesvirksomhed fra dør til dør og den efterfølgende behandling af disse personoplysninger hverken udgør behandling af personoplysninger, som foretages under udøvelsen af aktiviteter som omhandlet i direktivets artikel 3, stk. 2, første led, eller behandling af personoplysninger foretaget af fysiske personer ved udøvelsen af rent personlige eller familiemæssige aktiviteter som omhandlet i direktivets artikel 3, stk. 2, andet led.

2) Artikel 2, litra c), i direktiv 95/46 skal fortolkes således, at begrebet »register« som omhandlet i denne bestemmelse omfatter en samling af personoplysninger, der er indsamlet i forbindelse med forkyndelsesvirksomhed fra dør til dør, og som omfatter navne og adresser samt andre oplysninger vedrørende de besøgte personer, når disse oplysninger er struktureret i henhold til kriterier, der i praksis gør det muligt let at hente disse frem til senere brug. Det er ikke nødvendigt, for at en sådan samling kan være omfattet af dette begreb, at den omfatter kartotekskort, konkrete fortegnelser eller andre søgesystemer.

3) Artikel 2, litra d), i direktiv 95/46, sammenholdt med artikel 10, stk. 1, i chartret om grundlæggende rettigheder skal fortolkes således, at et trossamfund kan holdes ansvarligt, sammen med dets forkyndende medlemmer, for behandlingen af personoplysninger foretaget af sidstnævnte i forbindelse med forkyndelsesvirksomhed fra dør til dør, som organiseres, koordineres og tilskyndes af dette trossamfund, uden at det i denne forbindelse er påkrævet, at trossamfundet har adgang til disse oplysninger, eller at det har udstedt skriftlige retningslinjer eller anvisninger til dets medlemmer vedrørende denne behandling.

Link til sagen på EU-Domstolens hjemmeside