Afgjorte retssager ved EU-Domstolen

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

• Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
• Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
• Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
• Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
• Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
• Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
• Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
• Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
• Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
• Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

• Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

•  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

• Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?

• Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?

• Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?

• Over for hvem skal samtykket erklæres?

• Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

• Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.

• En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.

• Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

• Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.

• Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.

• Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.

• Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

• Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?

• Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?

• Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?

• Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?

• Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

• Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?

• Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?

• Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

• Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.

• I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.

• Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
   Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
   Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
3. Bestemmelserne i direktiv 95/46 skal fortolkes således
   • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
   • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

• Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

• Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.

• Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

• Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?

• Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 

• Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?

• Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og

• pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

Link til dommen på EU-Domstolens hjemmeside.

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

• Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?

• Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

• Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?

• Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?

• Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?

• Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

• Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Privacy International

Sagsøgte i hovedsagen:

Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service Srl og Secret Intelligence Service (UK)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Investigatory Powers Tribunal — London (UK). Sagsøgte mener, at massindsamling af data er afgørende for beskyttelsen af den national sikkerhed, herunder som led i bekæmpelse af terrorisme, kontraspionage og bekæmpelse af spredningen af atomvåben. Som følge af Tele2/Sverige og Watson afgørelsen er udbyderen af elektroniske kommunikationsnetværk ikke efterfølgende forpligtet til at lagre kommunikationsdata (efter det tidsrum, der stilles krav om i forbindelse med deres almindelige virksomhed), men de opbevares alene af de offentlige myndigheder (sikkerheds- og efterretningsagenturerne). Sagsøgte mener derved, at de overholder kravene i EMRK og Den Europæiske Unions Charter om grundlæggende rettigheder.

De præjudicielle spørgsmål:

• Er en myndigheds afgørelse, om at en udbyder af et elektronisk kommunikationsnetværk skal udlevere massekommunikationsdata til en medlemsstats sikkerheds- og efterretningsagenturer, omfattet af EU-retten og e-databeskyttelsesdirektivet?
• Hvis første spørgsmål besvares bekræftende: Finder Tele2/Sverige og Watson-kravene, eller eventuelle andre krav ud over kravene i EMRK, anvendelse på en sådan afgørelse? Hvis det er tilfældet, hvordan og i hvilket omfang finder de pågældende krav anvendelse, idet der tages højde for, at det er tvingende nødvendigt, at sikkerheds- og efterretningsagenturerne kan indsamle massekommunikationsdata og bruge automatiserede behandlingsteknikker for at beskytte den nationale sikkerhed, og for, i hvor høj grad denne mulighed, såfremt den i øvrigt er i overensstemmelse med EMRK, risikerer at blive begrænset i et kritisk omfang ved indførelsen af sådanne krav?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 4 TEU og artikel 1, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at de er til hinder for en national lovgivning, der pålægger en udbyder af elektroniske kommunikationsnet en pligt til at udlevere "bulk-kommunikationsdata" til en medlemsstats sikkerheds- og efterrefatningsagenturer, som indebærer en forudgående generel og udifferentieret indsamling".

Subsidiært:

"En medlemsstats sikkerheds- og efterretningsagenturers adgang til de data, som udbydere af elektronisk kommunikationsnet overfører, skal opfylde de betingelser, der er fastsat i dom af 21. december 2016, Tele2 Sverige og Watson (C-203/15 og C-698/15, EU:C:2016:970)".

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

• "Having regard to the foregoing considerations, the answer to the first question is that Article 1(3), Article 3 and Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU, must be interpreted as meaning that national legislation enabling a State authority to require providers of electronic communications services to forward traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security falls within the scope of that directive."
  
• "The answer to the second question is that Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU and Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation enabling a State authority to require providers of electronic communications services to carry out the general and indiscriminate transmission of traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security."

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

La Quadrature du Net, French Data Network.

Sagsøgte i de forenede hovedsager:

Den franske regering.

Faktum i de forenede hovedsager:

I EU-Domstolens dom af 21. december 2016 i de forenede sager, Tele2/Sverige og Watson, C-203/15 og C-698/15, blev det b.la. fastslået, at de nationale regler om logning var i strid med e-databeskyttelsesdirektivet sammenholdt med Den Europæiske Unions Charter om grund-læggende rettigheder, idet de medførte en generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Siden Tele2/Sverige og Watson dommen har flere medlemsstater valgt ikke at ophæve deres nationale lovgivning vedrørende lagring af trafikdata og lokaliseringsdata, men i stedet forholdt sig afventende. På baggrund af dette skal den franske Conseil D'État nu foretage afgørelse i to sager, omhandlende gyldigheden af fransk lovgivning og fortolkningen af e-databeskyttelsesdirektivet. Conseil d'État i Frankrig har i den forbindelse forelagt EU-Domstolen fem præjudicielle spørgsmål – hvoraf to er enslydende – om bl.a. fortolkningen af e-databeskyttelsesdirektivet.

De præjudicielle spørgsmål:

• Skal en forpligtelse til generel og udifferentieret lagring, som pålægges udbyderne på grundlag af e-databeskyttelsesdirektivets artikel 15, stk. 1, i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, anses for et berettiget indgreb i retten til den personlige sikkerhed, jf. EU Chartrets art. 6, og hensynet til den nationale sikkerhed, som medlemsstaterne er eneansvarlige for i medfør af artikel 4 i traktaten om Den Europæiske Union?
• Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det tillader lovgivningsmæssige foranstaltninger, såsom foranstaltninger med henblik på indsamling af trafik- og lokaliseringsdata i realtid, hvilket påvirker rettigheder og forpligtelser for udbydere af en elektronisk kommunikationstjeneste, men dog ikke pålægger dem en specifik forpligtelse til lagring af deres data?
• Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det gør retmæssigheden af procedurer til indsamling af data betinget af opfyldelsen af krav om underretning af de berørte personer, når en sådan underretning ikke længere kan skade de kompetente myndigheders efterforskning, eller kan sådanne procedurer kun anses for at være retmæssige når samtlige øvrige eksisterende proceduremæssige garantier finder anvendelse, idet disse sikrer, at adgangen til retsmidler er effektiv?
• Skal bestemmelserne i e-databeskyttelsesdirektivet sammenholdt med artikel 6, 7, 8, 11 og artikel 52, stk. 1, i EU Chartret fortolkes således, at de tillader en stat at indføre en national lovgivning, der pålægger personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester, og fysiske eller juridiske personer, der, selv vederlagsfrit, med henblik på tilrådighedsstillelse for offentligheden via offentlige onlinekommunikationstjenester varetager oplagring af signaler, skrift, billeder, lyd eller meddelelser af enhver art, der leveres af modtagere af disse tjenester, at lagre data, som vil kunne gøre det muligt at identificere enhver, der har bidraget til at skabe indholdet eller en del af indholdet af de tjenester, som de leverer, for at den retslige myndighed i påkommende tilfælde kan kræve videregivelse heraf med henblik på at sikre overholdelsen af reglerne om civil- eller strafferetligt ansvar?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

1) Bestemmelsen er til hinder for en national lovgivning, som i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, forpligter operatørerne og udbyderne af elektroniske kommunikationstjenester til at foretage en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter, samt af de data, der gør det muligt at identificere skaberne af det indhold, der leveres af udbyderne af disse tjenester.

2) Bestemmelsen er til hinder for en national lovgivning, som ikke fastsætter en pligt til at underrette de berørte personer om de kompetente myndigheders behandling af deres personoplysninger, medmindre en sådan underretning er til fare for de pågældende myndigheders efterforskning.

3) Bestemmelsen er ikke til hinder for en national lovgivning, hvorefter det er tilladt at indsamle specifikke personers trafik- og lokaliseringsdata i realtid, for så vidt som disse handlinger udføres i overensstemmelse med de fastsatte procedurer for adgang til lovligt lagrede personoplysninger og med samme garantier."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagerne, hvoraf følgende fremgår:

Ad spørgsmål 1 i sag C-511/18 og C‑512/18 og spørgsmål 1 og 2 C‑520/18:

• Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding legislative measures which, for the purposes laid down in Article 15(1), provide, as a preventive measure, for the general and indiscriminate retention of traffic and location data. By contrast, Article 15(1), read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, does not preclude legislative measures that:
  • allow, for the purposes of safeguarding national security, recourse to an instruction requiring providers of electronic communications services to retain, generally and indiscriminately, traffic and location data in situations where the Member State concerned is confronted with a serious threat to national security that is shown to be genuine and present or foreseeable, where the decision imposing such an instruction is subject to effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that one of those situations exists and that the conditions and safeguards which must be laid down are observed, and where that instruction may be given only for a period that is limited in time to what is strictly necessary, but which may be extended if that threat persists;
  • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using a geographical criterion, for a period that is limited in time to what is strictly necessary, but which may be extended;
  • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the general and indiscriminate retention of IP addresses assigned to the source of an Internet connection for a period that is limited in time to what is strictly necessary;
  • provide, for the purposes of safeguarding national security, combating crime and safeguarding public security, for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems;
  • allow, for the purposes of combating serious crime and, a fortiori, safeguarding national security, recourse to an instruction requiring providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to undertake, for a specified period of time, the expedited retention of traffic and location data in the possession of those service providers,
• Provided that those measures ensure, by means of clear and precise rules, that the retention of data at issue is subject to compliance with the applicable substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.

Ad spørgsmål 2 og 3 i sag C‑511/18:

• Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as not precluding national rules which requires providers of electronic communications services to have recourse, first, to the automated analysis and real-time collection, inter alia, of traffic and location data and, second, to the real-time collection of technical data concerning the location of the terminal equipment used, where:
  • recourse to automated analysis is limited to situations in which a Member State is facing a serious threat to national security which is shown to be genuine and present or foreseeable, and where recourse to such analysis may be the subject of an effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that a situation justifying that measure exists and that the conditions and safeguards that must be laid down are observed; and where
  • recourse to the real-time collection of traffic and location data is limited to persons in respect of whom there is a valid reason to suspect that they are involved in one way or another in terrorist activities and is subject to a prior review carried out either by a court or by an independent administrative body whose decision is binding in order to ensure that such real-time collection is authorised only within the limits of what is strictly necessary. In cases of duly justified urgency, the review must take place within a short time.

Ad spørgsmål 2 i sag C‑512/18:

• Directive 2000/31 must be interpreted as not being applicable in the field of the protection of the confidentiality of communications and of natural persons as regards the processing of personal data in the context of information society services, such protection being governed by Directive 2002/58 or by Regulation 2016/679, as appropriate. Article 23(1) of Regulation 2016/679, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation which requires that providers of access to online public communication services and hosting service providers retain, generally and indiscriminately, inter alia, personal data relating to those services.

Link til C-511/18 og C-512/18 på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Orange România S.A.

Sagsøgte i hovedsagen:

Det rumænske datatilsyn (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Tribunalul București (Rumænien). Sagen omhandler fortolkning af databeskyttelsesdirektivets regler om samtykke.

De præjudicielle spørgsmål:

• Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en specifik og informeret viljetilkendegivelse som omhandlet i databeskyttelsesdirektivets artikel 2, litra h?
• Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en frivillig viljetilkendegivelse som omhandlet i direktivets artikel 2, litra h?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. marts 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”En registreret, som har til hensigt at indgå et aftaleforhold om leveringen af telekommunikationstjenester med en virksomhed, giver ikke sit »samtykke«, dvs. tilkendegiver ikke en »specifik og informeret« samt »frivillig« vilje som omhandlet i artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) til denne virksomhed, når den registrerede med håndskrift, på hvad der ellers er en standardaftale, skal anføre, at denne nægter at samtykke til fotokopieringen og opbevaringen af sine ID-dokumenter.”

Domsafsigelse

EU-domstolen har d. 11 november truffet afgørelse i sagen. Domstolen valgte i sin afgørelse at fremsætte både sin fortolkning af databeskyttelsesdirektivets artikel 2. litra h) som de præjudicielle spørgsmål oprindeligt omhandlede, samt sin fortolkning af databeskyttelsesforordningens artikel 4, stk. 11 og artikel 6, stk. 1, litra a) omhandlede den nu gældende databeskyttelsesforordnings definitionen af det databeskyttelsesretlige samtykke. 

Af Domstolens afgørelse fremgår følgende:

Artikel 2, litra h), og artikel 7, litra a), i databeskyttelsesdirektivet samt artikel 4, nr. 11), og artikel 6, stk. 1, litra a), databeskyttelsesforordningen  skal fortolkes således, at det påhviler den dataansvarlige at påvise, at den registrerede ved en aktiv adfærd har tilkendegivet sit samtykke til behandling af sine personoplysninger, og at den registrerede forud herfor har modtaget oplysninger om alle omstændigheder i forbindelse med behandlingen i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som sætter vedkommende i stand til uden besvær at bestemme konsekvenserne af dette samtykke, således at det sikres, at samtykket gives med fuldt kendskab til følgerne.

En aftale om levering af telekommunikationstjenester, der indeholder et vilkår om, at den registrerede er blevet informeret om og har givet samtykke til indsamling og opbevaring af en genpart af vedkommendes identitetsbevis med henblik på identifikation af den pågældende, kan ikke bevise, at den registrerede har givet et gyldigt samtykke til denne indsamling og opbevaring som omhandlet i disse bestemmelser, hvis

• feltet vedrørende dette vilkår er blevet afkrydset af den dataansvarlige inden underskrivelsen af aftalen, eller
• aftalevilkårene kan vildlede den registrerede med hensyn til muligheden for at indgå den pågældende aftale, selv om vedkommende nægter at give samtykke til behandlingen af sine oplysninger, eller
• den dataansvarlige uretmæssigt påvirker det frie valg med hensyn til at modsætte sig denne indsamling og opbevaring ved at kræve, at den registrerede ved nægtelse af samtykke skal udfylde en supplerende formular om nægtelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

D.-H.T., som kurator for J & S Service UG (haftungsbeschränkt).

Sagsøgte i hovedsagen:

Land Nordrhein-Westfalen.

Faktum i hovedsagen:

Sagsøger er kurator. Han har anmodet om skattemæssige oplysninger vedrørende debitor, et kapitalselskab (Unternehmergesellschaft), fra det kompetente skattekontor med henblik på at kunne undersøge fremsatte krav om omstødelse ved insolvens.

Skattekontoret afslog imidlertid kurators anmodning, fremsat i henhold til Informationsfreiheitsgesetz (lov om informationsfrihed) i delstaten Nordrhein-Westfalen, om indsigt i oplysninger vedrørende trusler om tvangsfuldbyrdelsesforanstaltninger og om påbud om opfyldelse, modtagne betalinger og om tidspunktet, hvor det blev kendt, at debitor var insolvent, og endelig om udlevering af kontoudtog for alle forskellige typer af skattekonti i beskatningsperioden marts 2014 til juni 2015.

De præjudicielle spørgsmål:

• Tjener artikel 23, stk. 1, litra j), i forordning (EU) 2016/679 ligeledes til beskyttelsen af skattemyndighedernes interesser?

• Omfatter udtrykket »håndhævelse af civilretlige krav« i bekræftende fald også skattemyndighedernes forsvar mod civilretlige krav, og skal de pågældende krav i givet fald allerede være gjort gældende?

• Giver bestemmelsen i artikel 23, stk. 1, litra e), i forordning (EU) 2016/679 om beskyttelse af en medlemsstats væsentlige finansielle interesser, herunder skatteanliggender, mulighed for at begrænse indsigtsretten i henhold til artikel 15 i forordning (EU) 2016/679 med henblik på at afværge civilretlige krav om omstødelse ved insolvens mod skattemyndighederne?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. september 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”Jeg foreslår, at Domstolen fastslår, at den savner kompetence til at besvare de præjudicielle spørgsmål fra Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland).”

Domsafsigelse:

EU-domstolen har den 10. december 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Domstolen har ikke kompetence til at besvare de spørgsmål, der er forelagt af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 4. juli 2019.

Link til sagen på EU-Domstolens hjemmeside