Afgjorte retssager ved EU-Domstolen

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

• Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
• Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
• Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
• Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
• Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
• Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
• Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
• Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
• Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
• Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

• Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

•  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

• Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?

• Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?

• Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?

• Over for hvem skal samtykket erklæres?

• Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

• Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.

• En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.

• Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

• Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.

• Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.

• Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.

• Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

• Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?

• Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?

• Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?

• Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?

• Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

• Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?

• Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?

• Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

• Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.

• I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.

• Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
   Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
   Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
3. Bestemmelserne i direktiv 95/46 skal fortolkes således
   • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
   • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

• Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

• Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.

• Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

• Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?

• Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 

• Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?

• Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og

• pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

Link til dommen på EU-Domstolens hjemmeside.

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

• Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?

• Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

• Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?

• Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?

• Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?

• Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

• Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside