Verserende retssager ved EU-Domstolen

Sagsøgt i hovedsagen: 

Policejní prezidium

Sagsøger i hovedsagen:

JH

De præjudicielle spørgsmål:

1.Hvorledes skal der sondres mellem forskellige registreredes oplysninger, der kræves i henhold til artikel 4, stk. 1, litra c), eller artikel 6, sammenholdt med artikel 10 i direktiv 2016/680? Er det i overensstemmelse med kravet om begrænsning af behandlingen af personoplysninger, samt med forpligtelsen til at skelne mellem forskellige kategorier af registrerede, at national lovgivning tillader udtræk af genetiske data fra alle personer, der er mistænkt eller tiltalt for at have begået en forsætlig strafbar handling?

2. Er det foreneligt med artikel 4, stk. 1, litra e), i direktiv 2016/680, at behovet for fortsat at opbevare en DNA-profil med henvisning til det generelle formål om at forebygge eller afsløre kriminalitet vurderes af politimyndighederne på grundlag af deres interne regler, hvilket i praksis ofte betyder opbevaring af følsomme personoplysninger på ubestemt tid, uden at der angives nogen maksimal opbevaringsperiode for sådanne personoplysninger? Hvis dette ikke er i overensstemmelse med denne bestemmelse, hvilke kriterier skal da anvendes til at vurdere proportionaliteten med hensyn til varigheden af opbevaringen af personoplysninger, der er indsamlet og opbevaret til et sådant formål?

3. Hvad er minimumsrækkevidden af de materielle eller proceduremæssige betingelser for indsamling, opbevaring og sletning af særligt følsomme personoplysninger i henhold til artikel 10 i direktiv 2016/680, som skal være hjemlet i »bestemmelser« i en medlemsstats nationale ret? Kan retspraksis også betragtes som »medlemsstats nationale ret« som omhandlet i artikel 8, stk. 1, sammenholdt med artikel 10 i direktiv 2016/680?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. februar 2025. Generaladvokaten konkluderer i sin udtalelse følgende:

»Artikel 4, stk. 1, litra c) og e), artikel 6, artikel 8, stk. 2, og artikel 10 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

skal fortolkes således, at

• disse bestemmelser er til hinder for en national lovgivning, der tillader indsamling af biometriske og genetiske data fra alle personer, der retsforfølges for at have begået en forsætlig strafbar handling, eller som mistænkes for at have begået en sådan strafbar handling, når den pågældende lovgivning ikke fastsætter en forpligtelse for den kompetente myndighed til i hvert enkelt konkret tilfælde at vurdere, om den behandling, den har foretaget eller påtænker at foretage, er »strengt nødvendig«
• disse bestemmelser ikke er til hinder for en national lovgivning, der ikke fastsætter et maksimalt tidsrum for opbevaringen af biometriske og genetiske data, for så vidt som en sådan lovgivning fastsætter krav om, at behovet for at opbevare dataene tages op til fornyet vurdering med regelmæssige mellemrum. Disse bestemmelser kræver imidlertid, at en sådan fornyet vurdering suppleres med strenge proceduremæssige garantier, og at den gør det muligt at sikre, at opbevaringen ikke går ud over det tidsrum, der er strengt nødvendigt for at nå målet med behandlingen af de nævnte data
• disse bestemmelser er til hinder for, at en national retspraksis, selv om den kan betragtes som en »medlemsstats ret« som omhandlet i direktivet, kan træde i stedet for en almengyldig bestemmelse, der ikke fastsætter krav om, at politimyndighederne skal foretage en streng kontrol i hvert enkelt konkret tilfælde af nødvendigheden af at indsamle og opbevare de registreredes biometriske og genetiske data.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

TC

Sagsøger i hovedsagen:

 Brillen Rottler GmbH & Co. KG

De præjudicielle spørgsmål:

1. Skal artikel 12, stk. 5, andet punktum, i den generelle forordning om databeskyttelse ¹ (herefter »databeskyttelsesforordningen«) fortolkes således, at der ikke kan foreligge en overdreven anmodning fra den registrerede om indsigt, første gang der fremsættes anmodning over for den dataansvarlige?

2. Skal databeskyttelsesforordningens artikel 12, stk. 5, andet punktum, fortolkes således, at den dataansvarlige kan afvise den registreredes anmodning om indsigt, såfremt den registrerede har til hensigt ved hjælp af anmodningen om indsigt at fremprovokere erstatningskrav mod den dataansvarlige

3. Skal databeskyttelsesforordningens artikel 12, stk. 5, andet punktum, fortolkes således, at offentligt tilgængelige oplysninger om den registrerede, hvoraf det kan sluttes, at denne i en lang række tilfælde i forbindelse med brud på datasikkerheden gør erstatningskrav gældende mod dataansvarlige, kan tjene som begrundelse for, at en anmodning om indsigt afvises?

4. Skal databeskyttelsesforordningens artikel 4, nr. 2), fortolkes således, at en registrerets anmodning om indsigt over for den dataansvarlige i henhold til databeskyttelsesforordningens artikel 15, stk. 1, og/eller besvarelsen heraf udgør behandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2)?

5. Skal databehandlingsforordningens artikel 82, stk. 1, henset til 146. betragtning, første punktum, til databeskyttelsesforordningen, fortolkes således, at der kun kan ydes erstatning for de skader, som den registrerede måtte lide eller har lidt som følge af behandling? Betyder dette, at det for et erstatningskrav i henhold til databeskyttelsesforordningens artikel 82, stk. 1 – under forudsætning af, at den registrerede har lidt en kausal skade – er et krav, at der skal have foreligget behandling af den registreredes personoplysninger?

6. Såfremt det femte spørgsmål besvares bekræftende: Medfører dette, at den registrerede – under forudsætning af, at der foreligger en kausal skade – ikke har noget erstatningskrav i henhold til databeskyttelsesforordningens artikel 82, stk. 1, alene som følge af tilsidesættelsen af dennes ret til indsigt i henhold til databeskyttelsesforordningens artikel 15, stk. 1?

7. Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at den dataansvarliges anbringende om retsmisbrug i forbindelse med den registreredes anmodning om indsigt henset til EU-retten ikke kan støttes på, at den registrerede udelukkende eller blandt andet har foranlediget behandling af sine personoplysninger for at gøre erstatningskrav gældende?

8. Såfremt det femte og det sjette spørgsmål besvares benægtende: Udgør et tab af kontrol og/eller usikkerheden om behandlingen af den registreredes personoplysninger som følge af en overtrædelse af databeskyttelsesforordningens artikel 15, stk. 1, i sig selv en immateriel skade for den registrerede som omhandlet i databeskyttelsesforordningens artikel 82, stk. 1, eller kræves der derudover en yderligere (objektiv eller subjektiv) begrænsning og/eller (mærkbar) krænkelse af den registrerede?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

 EM

Sagsøger i hovedsagen:

 NTH Haustechnik GmbH

De præjudicielle spørgsmål:

• Opfylder bestemmelserne i artikel 92 i GG [(Forbundsrepublikken Tysklands forfatning, herefter »forfatningen«)], §§ 138, 286, 355 ff. i ZPO [(den tyske retsplejelov, herefter »retsplejeloven«)] i tilfælde af en selvstændig retslig behandling, som er omfattet af artikel 6, stk. 1, litra e), og artikel 6, stk. 3, i databeskyttelsesforordningen [(Europa-Parlamentets og Rådets forordning (EU) 2016/679 ¹ af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, herefter »databeskyttelsesforordningen«)] det krav om tydelig formulering, som følger af artikel 8, stk. 2, og artikel 52, stk. 1, i chartret [(chartret om grundlæggende rettigheder, herefter »chartret«)] og af databeskyttelsesforordningens artikel 5, stk. 1, litra c), såfremt den retslige behandling er forbundet med indgreb i en parts eller en tredjemands grundlæggende rettigheder?
• a) Kan en national domstol i forbindelse med behandlingen af – navnlig personoplysninger – gøre gældende, at der er hjemmel til denne behandling i databeskyttelsesforordningens artikel 17, stk. 3, litra e), eller udgør databeskyttelsesforordningens artikel 6 og 9 det eneste grundlag for en retslig behandling?
  • b) Såfremt databeskyttelsesforordningens artikel 17, stk. 3, litra e), principielt kan udgøre et retsgrundlag for en retslig behandling:
  • aa) Gælder dette også for de tilfælde, hvor den oprindelige indsamling af disse oplysninger er foretaget ulovligt af en part i sagen eller en tredjemand?
  • bb) Indebærer en behandling af oplysninger, der oprindeligt er indsamlet ulovligt, i overensstemmelse med det almindeligt gældende princip om rimelighed [jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a)] i henhold til den afledte ret en begrænsning af den retslige behandling, således at databeskyttelsesforordningens artikel 17, stk. 3, litra e), alene kan finde anvendelse under visse betingelser eller inden for visse grænser?
  • cc) Skal bestemmelsen i databeskyttelsesforordningens artikel 17, stk. 3, litra e), forstås således, at et forbud mod retslig anvendelse af oplysninger, som oprindeligt er indsamlet ulovligt, altid ophæves – altså at en domstols anvendelse af disse oplysninger altid skal finde sted – hvis den oprindelige indsamling af oplysninger ikke er sket i det skjulte og er sket med henblik på at kunne dokumentere en forsætligt begået pligtforsømmelse?
• Uafhængigt af, om den retslige behandling er omfattet af artikel 17, stk. 3, litra e), artikel 6, stk. 1, litra c) eller e), artikel 6, stk. 3, eller artikel 9 i databeskyttelsesforordningen eller af andre EU-retlige forskrifter:
  • a)Er det en nødvendig følge af det databeskyttelsesretlige princip om nødvendighed og det databeskyttelsesretlige princip om dataminimering i henhold til henholdsvis chartrets artikel 52, stk. 1, andet punktum, og databeskyttelsesforordningens artikel 5, stk. 1, litra a), at domstolene, navnlig for så vidt angår behandlingen af oprindeligt ulovligt indsamlede eller opbevarede oplysninger, skal foretage en omfattende proportionalitetsvurdering og afvejning?
  • b) Hvilke konsekvenser har databeskyttelsesforordningens artikel 5, stk. 1, litra e), som bestemmer, at personoplysninger kun kan opbevares så længe, som det er nødvendigt til de formål, de behandles til, for den efterfølgende retslige behandling, navnlig for så vidt angår tilfælde, hvor den oprindelige indsamling af oplysninger er sket til andre formål, eller den oprindelige ulovlige indsamling af oplysninger er sket for lang tid siden, eller en ulovlig opbevaring er blevet opretholdt i lange perioder, eller den ulovlige indsamling af oplysninger vedrører oplysninger, som – eventuelt ulovligt – er blevet opbevaret for lang tid siden, eller den databehandlende eller -indsamlende myndighed eller den databehandlende eller -indsamlende person efter ensidig eller fælles aftale eller i henhold til overenskomst har forpligtet sig til sletning af oplysningerne inden for en vis periode, men imidlertid ikke har foretaget denne sletning?
  • c)Følger det af EU-retten, navnlig chartrets artikel 8 og databeskyttelsesforordningens artikel 6, stk. 1, litra c), eller e), artikel 6, stk. 3, og artikel 9, at en national domstol kun kan anvende bevismateriale, som er indsamlet i forbindelse med en tilsidesættelse af personlige rettigheder, hvis der for den part, der bærer bevisbyrden, er tale om en legitim interesse, der går videre end den basale bevisførelse, eller følger der af EU-retten ingen krav herom, således at det er det nationale retssystem, der skal fastsætte regler herom?
  • d) Følger det af chartrets artikel 47, stk. 2, som sikrer retten til effektiv retsbeskyttelse og navnlig en retfærdig rettergang, og hvorefter parterne i en civil retssag principielt skal være i stand til at give en fyldesgørende begrundelse for og dokumentere deres retlige interesse, at den retslige behandling af personoplysninger vedrørende den sagsøgte ansatte, som er indsamlet ulovligt af arbejdsgiveren, kun kan fremstå som i snæver forstand urimelig og uforholdsmæssig, hvis indsamlingen af oplysningerne i henhold til EU-retten viser sig at udgøre en alvorlig tilsidesættelse af chartrets artikel 7 og 8, og andre mulige sanktioner over for arbejdsgiveren (f.eks. erstatningsansvar i henhold til databeskyttelsesforordningens artikel 82 og pålæggelse af […] bøder i henhold til databeskyttelsesforordningens artikel 83) ville være helt utilstrækkelige, eller kan der allerede ved andre mindre alvorlige tilsidesættelser af databeskyttelsesretlige bestemmelser være tale om manglende rimelighed og manglende forholdsmæssighed?
  • e)Skal en domstol i forbindelse med sin afgørelse af, om den vil anvende de oplysninger, som oprindeligt er indsamlet af en part eller en tredjemand, inden for rammerne af sin retslige behandling, tage hensyn til, om den, der har indsamlet oplysningerne, har overholdt forpligtelserne til at fremlægge de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 13? Såfremt dette spørgsmål besvares bekræftende: Under hvilke betingelser og efter hvilke kriterier skal retten tage dette i betragtning?
  • f) Indebærer den omstændighed, at databeskyttelsesforordningen og chartret finder anvendelse i forbindelse med en domstols behandling af personoplysninger, at de pågældende bestemmelser også omfatter personoplysninger vedrørende tredjemand? På hvilken måde påvirker en eventuel databeskyttelsesretlig tilsidesættelse i relation til tredjemand i forbindelse med den oprindelige indsamling af oplysninger en efterfølgende retslig databehandling i en tvist mellem to parter? Kan en part gøre en tilsidesættelse gældende, som ikke er begået over for den pågældende part, men over for tredjemand, eller er dette ikke muligt?

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

 Österreichische Datenschutzbehörde

Sagsøger i hovedsagen:

AR, YT, DI og RN 

De præjudicielle spørgsmål:

• Er databehandling af personoplysninger, hvorved de registreredes navn, den udøvede sportsgren, den begåede overtrædelse af antidopingregler, sanktionen samt sanktionens begyndelse og ophør offentliggøres på den almindeligt tilgængelige del af webstedet tilhørende Nationale Anti-Doping Agentur Austria GmbH (NADA Austria) https://www.nada.at/de/recht/suspendierungen-sperren i form af en registrering i en tabel samt i almindeligt tilgængelige pressemeddelelser fra Österreichische Anti-Doping Rechtskommission (det østrigske antidopingretsudvalg, ÖADR) på adressen https://www.oeadr.at, omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF, således at Europa-Parlamentets og Rådets forordning (EU) 2016/679 ¹ finder anvendelse på en sådan behandling af personoplysninger?
• Såfremt det første spørgsmål besvares bekræftende:
  • Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en »helbredsoplysning« som omhandlet i databeskyttelsesforordningens artikel 9?
  • Er databeskyttelsesforordningen – navnlig henset til artikel 6, stk. 3, andet afsnit, heri – til hinder for en national lovgivning, ifølge hvilken navnene på de personer, der er berørt af afgørelsen fra det østrigske antidopingretsudvalg eller Unafhängige Schiedskommission (det uafhængige voldgiftsudvalg, USK), varigheden af udelukkelsen og grundene hertil offentliggøres, uden at det er muligt at udlede helbredsoplysninger om den registrerede? Spiller det i denne forbindelse en rolle, at der i henhold til den nationale ordning kun kan ses bort fra offentliggørelse af disse oplysninger over for offentligheden, såfremt den registrerede er en motionsidrætsudøver, en mindreårig person eller en person, der ved meddelelse af oplysninger eller andre informationer i væsentligt omfang har bidraget til at afsløre potentielle overtrædelser af antidopingregler?
  • Kræver databeskyttelsesforordningen – navnlig henset til principperne i artikel 5, stk. 1, litra a) og litra c), heri – før offentliggørelsen under alle omstændigheder, at der foretages en interesseafvejning for så vidt angår på den ene side den registreredes personlige interesser, der berøres af en offentliggørelse, og på den anden side offentlighedens interesse i at få oplysninger om en idrætsudøvers overtrædelse af antidopingregler?
  • Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en behandling af personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i databeskyttelsesforordningens artikel 10?
    • Såfremt det femte spørgsmål besvares bekræftende:
      • Skal aktiviteter henholdsvis afgørelser fra en myndighed, som i henhold til databeskyttelsesforordningens artikel 10 er blevet pålagt tilsynet med behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, være underlagt domstolsprøvelse?
      • Skal en klage i henhold til databeskyttelsesforordningens artikel 77 vedrørende en hævdet overtrædelse i henhold til databeskyttelsesforordningens artikel 17, hvor der på tidspunktet for indgivelsen af klagen til tilsynsmyndigheden og tilsynsmyndighedens afgørelse endnu ikke forelå en behandling af den registreredes personoplysninger, men denne behandling skete, mens sagen verserede for retten, antages til behandling henholdsvis efterfølgende antages til behandling, hvis der allerede ved indgivelsen af klagen foreligger konkrete indikationer af, at den dataansvarlige umiddelbart forestående eller i nær fremtid vil foretage en behandling af personoplysninger?

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

AB Storstockholms Lokaltrafik

Sagsøger i hovedsagen:

Integritetsskyddsmyndigheten

Det præjudicielle spørgsmål:

• Er det artikel 13 eller artikel 14 i den generelle databeskyttelsesforordning ¹ , der finder anvendelse, når personoplysninger indhentes ved hjælp af et kropsbåret kamera?

Link til sagen på EU-Domstolens hjemmeside

Parter i hovedsagen: 

Rekvirent: SQ

De præjudicielle spørgsmål:

• Skal chartrets ¹ artikel 47, sammenholdt med artikel 7 og 8, og databeskyttelsesforordningen ² fortolkes således, at en advokat, der ikke repræsenterer nogen af parterne i en given retssag, kan gives ubegrænset adgang til sagsakterne i den pågældende retssag alene på grund af sin egenskab af advokat?

• Skal chartrets artikel 47, sammenholdt med artikel 7 og 8, og databeskyttelsesforordningen, fortolkes således, at en person, der i en given retssag hverken er part eller advokat for en part, altid skal godtgøre at have en legitim interesse for at få adgang til sagsakterne i denne retssag?

• Skal chartrets artikel 47, sammenholdt med artikel 7 og 8, og databeskyttelsesforordningens artikel 6, stk. 1, litra a), fortolkes således, at samtykke fra alle parter i en retssag altid er nødvendigt for at give en person, der hverken er part eller advokat i denne retssag, adgang til akterne i retssagen?

• Skal chartrets artikel 47 og artikel 19 TEU fortolkes således, at der kan indledes en disciplinærsag mod en dommer, der har givet en person, der i en given retssag hverken er part eller advokat, adgang til akterne i denne retssag:

  •  før det er fastslået, at en bestemmelse i national ret er i strid med EU-retten

  • efter at det er fastslået, at en bestemmelse i national ret er i strid med EU-retten

• Skal chartrets artikel 47 og artikel 19 TEU fortolkes således, at en national ret kan nægte at efterkomme instrukserne fra en anden national ret, der efterprøver lovligheden af en forvaltningsakt, som regulerer forløbet af proceduren ved den første ret, når den førstnævnte nationale ret er i tvivl om, hvorvidt en national lovgivning er forenelig med EU-retten, og er af den opfattelse, at den anfægtede forvaltningsakt er i overensstemmelse med EU-retten?
• Skal artikel 19, stk. 1, TEU, sammenholdt med chartrets artikel 47 (kravet om domstolenes uafhængighed og upartiskhed), fortolkes således, at alle Unionens dommere skal overholde ensartede, harmoniserede etiske minimumskrav til deres adfærd, og navnlig princippet om databeskyttelse (fortrolighed og tavshedspligt)?

Link til sagen på EU-domstolens hjemmeside

Parter i hovedsagen: 

Indgiver af kassationsindsigelsen: Ģenerālprokuratūra

Øvrige procesdeltagere: SIA »ČIEKURI-SHISHKI« og SIA »COUNTRY HELI«

Det præjudicielle spørgsmål:

• Hvilke omstændigheder indebærer, at en person er en tilknyttet person som omhandlet i artikel 2 i Rådets forordning (EU) nr. 269/2014 ¹ af 17. marts 2014 om restriktive foranstaltninger over for tiltag, der underminerer eller truer Ukraines territoriale integritet, suverænitet og uafhængighed (herefter »forordning nr. 269/2014«)? Skal en juridisk person, hvor 50% af aktierne ejes af en juridisk person, hvis retmæssige ejer er en fysisk person, som er opført på listen i bilaget til Rådets gennemførelsesforordning (EU) 2022/336 ² af 28. februar 2022 om gennemførelse af forordning (EU) nr. 269/2014 om restriktive foranstaltninger over for tiltag, der underminerer eller truer Ukraines territoriale integritet, suverænitet og uafhængighed, anses for at være en tilknyttet juridisk person?
• Såfremt den anden del af det første præjudicielle spørgsmål besvares bekræftende, skal en person, som ejer 50% af aktierne i den juridiske person, der er beskrevet i den anden del af det første præjudicielle spørgsmål, da også anses for at være en tilknyttet juridisk person som omhandlet i artikel 2 i forordning nr. 269/2014?
• Skal de personer, enheder eller organismer, som er nævnt i artikel 11, stk. 1, litra b), i forordning nr. 269/2014, også anses for at være tilknyttede juridiske personer som omhandlet i artikel 2 i forordning nr. 269/2014?
• Er retten ved vurderingen af enhver påstand forpligtet til af egen drift at efterprøve, om en af parterne er en af de personer, som er nævnt i artikel 2 eller i artikel 11, stk. 1, litra a) eller b), i forordning nr. 269/2014?
• Hvad er retsvirkningerne af artikel 11, stk. 1, i forordning nr. 269/2014, hvorefter fordringer, som gøres gældende af de personer, der er nævnt i dette stykkes litra a) eller b), ikke »må indfries«? Kan det tillades, at disse fordringer realitetsbehandles, såfremt det i den dispositive del af rettens dom erklæres, at dommen ikke kan fuldbyrdes, mens disse personer er opført på den relevante liste?
• Har artikel 11, stk. 1, i forordning nr. 269/2014 retsvirkninger, når sagsøgeren ikke er en af de personer, som er nævnt i dette stykkes litra a) eller b), men sagsøgte er en af de personer, som er nævnt i dette stykkes litra a) eller b)?
• Skal oplysningerne om (navnene på) den fysiske person, som er berørt af sanktionerne, afsløres i præmisserne til rettens afgørelse? Skal disse personoplysninger pseudonymiseres, når rettens afgørelse offentliggøres?

Link til sagen på EU-domstolens hjemmeside

Sagsøgt i hovedsagen: 

Netz Niederösterreich GmbH

Sagsøger i hovedsagen:

 SR 

De præjudicielle spørgsmål:

•  Skal artikel 22 i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 ¹ af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU (herefter »direktiv 2019/944«) sammenholdt med bilag II til dette direktiv fortolkes således, at en systemoperatør skal tage hensyn til en slutkundes ønske om ikke at modtage en intelligent måler og i så fald er forpligtet til i stedet for et intelligent målersystem at udstyre slutkunden med en konventionel måler?
• Skal artikel 2, stk. 1, i Europa-Parlamentets og Rådets direktiv 2014/32/EU ¹ af 26. februar 2014 om harmonisering af medlemsstaternes love om tilgængeliggørelse på markedet af måleinstrumenter (herefter »direktiv 2014/32«), som nærmere definerer et »måleinstrument« som omhandlet i de instrumentspecifikke bilag III til XII (elforbrugsmålere (MI-003)) sammenholdt med artikel 20, litra b) og c), og artikel 23, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 (direktiv 2019/944) fortolkes således, at den er til hinder for en national bestemmelse (§ 7, stk. 1, nr. 31, i Elektrizitätswirtschafts- und organisationsgesetz 2010 som ændret ved BGBl I, nr. 17/2021 ² , (lov om elektricitetssektoren og elektricitetsvæsenet, herefter »EIWOG«), som ikke stiller konkrete krav til måleinstrumenters datasikkerhed?
  
  
• Skal der ved fortolkningen af artikel 20, litra b) og c), artikel 21, stk. 1, litra a), og artikel 23, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 (direktiv 2019/944) også tages hensyn til artikel 6, stk. 1, i Rådets direktiv 85/374/EØF ¹ af 25. juli 1985 i den affattelse, der følger af Europa-Parlamentets og Rådets direktiv 1999/34/EF ²  af 10. maj 1999 (herefter »direktiv 1999/34/EF)?
  
  
• Skal artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF ¹ af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation, herefter »direktiv 2002/58/EF«) fortolkes således, at begrebet »elektronisk kommunikationsnet« også finder anvendelse på et elnet, gennem hvilket der overføres data (forbrugsdata, metadata, personlige identifikatorer) i henhold til formålene i artikel 20, litra b) og c), artikel 21, stk. 1, litra a), og artikel 23, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 (direktiv 2019/944)?
  
  
• Skal artikel 5, stk. 1, litra f), artikel 13 og artikel 32, stk. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 ¹ af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og artikel 7 og artikel 8, stk. 1 og 2, i Den Europæiske Unions charter om grundlæggende rettigheder (2000/C 364/01) ² (herefter »chartret«) fortolkes således, at de er til hinder for en national bestemmelse (§ 1, stk. 6, i Intelligente Messgeräte-Einführungsverordnung ³ , BGBl. II, nr. 138/2012 som ændret ved BGBl II nr. 9/2022 af 13.1.2022 (bekendtgørelse om indførelse af intelligente målersystemer, herefter »IME-VO«), hvorefter kun den respektive konfiguration af aflæsningsintervallet skal være synlig for slutkunden, men ikke, om systemoperatøren har registreret en »konkret hændelse« (EIWOG’s § 84a, stk. 1) og hentet slutkundens data forud for det fastlagte interval?
  
  
• Skal retspraksis fra Den Europæiske Menneskerettighedsdomstol vedrørende EMRK’s artikel 8 – henset til artikel 52, stk. 3, i og stk. 5 i præamblen til Den Europæiske Unions charter om grundlæggende rettigheder (2000/C 364/01) (chartret), og forklaringerne til chartrets artikel 7 – inddrages med henblik på fortolkningen af artikel 20, litra b) og c), artikel 21, stk. 1, litra a), og artikel 23, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 (direktiv 2019/944)

Link til sagen på EU-domstolens hjemmeside

Parter i hovedsagerne: 

Thomas Bindl og Europa-Kommisionen

Thomas Bindls påstande: 

Overførslerne af appellantens personoplysninger til modtagere i tredjelande, der ikke har et passende beskyttelsesniveau i forhold til appellanten, som Europa-Kommissionen foranledigede i strid med kapitel V i forordning (EU) 2018/1725 ¹ , og som skete i forbindelse med besøget på webstedet »https://futureu.europa.eu« den 30. marts og den 8. juni 2022 samt ved tilmeldingen til begivenheden »Go Green« den 30. marts 2022, annulleres.

Det fastslås, at Kommissionen retsstridigt har undladt at besvare appellantens anmodning af 1. april 2022 om indsigt i Kommissionens behandling af hans personoplysninger og om de fornødne garantier i henhold til artikel 48 i forordning 2018/1725 i forbindelse med overførslen af oplysninger til modtagere i tredjelande.

Kommissionen tilpligtes ud over det tilkendte beløb for erstatning af skaden at betale 800 EUR med tillæg af renter på 2 procentpoint over den relevante rentesats, der er blevet fastsat af Den Europæiske Centralbank for de vigtigste refinansieringstransaktioner, fra datoen for afsigelsen af dommen, hvilken skade appellanten har lidt på grund af den fejlagtige anvendelse af forordning 2018/1725.

Kommissionen tilpligtes at betale sagsomkostningerne.

Europa-Kommisionens påstande: 

Rettens dom af 8. januar 2025 i sag T-354/22, Bindl mod Kommissionen, EU:T:2025:4, ophæves, for så vidt som den af sagsøgeren i første instans fremsatte påstand om erstatning derved blev taget til følge.

Der træffes endelig afgørelse i søgsmålet i første instans i sag T-354/22, idet søgsmålet forkastes.

Sagsøgeren i første instans (appelindstævnte), tilpligtes at betale sagsomkostningerne.

Thomas Bindls anbringender og væsentligste argumenter:

• Appellanten har for det første gjort gældende, at Retten med urette fastslog, at den første påstand om annullation ikke kunne antages til realitetsbehandling. Herved tilsidesatte Retten betingelserne i artikel 263, stk. 4, TEUF og tog ikke hensyn til Domstolens praksis, som appellanten havde henvist til.

  • Desuden er Rettens standpunkt ligeledes i strid med appellantens ret til en effektiv domstolsbeskyttelse i henhold til artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), som er sikret ved den primære ret

  • Eftersom enhver behandling af personoplysninger ifølge Domstolens faste praksis indebærer et indgreb i beskyttelsen af personoplysninger, der er sikret ved chartrets artikel 8, krænker Kommissionens videregivelse af appellantens personoplysninger til modtagere i tredjelande den grundlæggende rettighed, som appellanten er tillagt ved chartrets artikel 8, og griber således direkte ind i den retsstilling, der tilkommer appellanten som indehaver af grundlæggende rettigheder. I modsætning til, hvad der kan være tilfældet for faktiske interne forvaltningsakter eller rent informative meddelelser, kan den omtvistede overførsel af data følgelig ikke anses for en fysisk handling.

• For det andet har appellanten gjort gældende, at Retten med urette fastslog, at det som følge af Kommissionens svar af 30. juni 2022 var ufornødent at træffe afgørelse vedrørende klagepunktet om, at Kommissionen havde udvist passivitet. Endvidere lagde Retten med urette til grund, at Kommissionen med dette svar havde overholdt appellantens ret til indsigt. Retten undersøgte imidlertid på ingen måde appellantens relevante argumentation i denne henseende.

  • Inden for rammerne af de oplysninger, der blev fremsendt 3. december 2021, angav Kommissionen ikke fuldt ud adressaterne for den omtvistede behandling, såsom Amazon Web Services Inc. og selskabets underleverandører. Desuden anførte Kommissionen ikke Meta Platforms, Inc. som modtager, selv om den havde anvendt login-funktionen via Facebook, og det var ubestridt, at appellantens personoplysninger var blevet videregivet til Meta Platforms, Inc. Det er således ubestridt, at Kommissionen ved sit svar af 30. juni 2022 og indtil i dag (dvs. næsten fire år efter indgivelsen af anmodningen) ikke har givet appellanten indsigt.

  • Det er desuden uforeneligt med retten til en effektiv domstolsbeskyttelse i henhold til chartrets artikel 47, hvis unionsborgerne i tilfælde af passivitet kun effektivt kan gøre deres ret til oplysninger i henhold til den primære ret gældende ved at anlægge et erstatningssøgsmål baseret på princippet om statens erstatningsansvar, efter at tilsidesættelsen har fundet sted.

• For det tredje har appellanten gjort gældende, at Retten med urette lagde til grund, at Kommissionens tilsidesættelse af artikel 17, stk. 1 og 2, i forordning 2018/1725 ikke er tilstrækkeligt godtgjort. Tilsidesættelsen af artikel 17, stk. 1 og 2, i forordning 2018/1725 er netop godtgjort ved den omstændighed, at Kommissionen den 3. december 2021 og den 30. juni 2022 videresendte oplysninger, der var ufuldstændige, unøjagtige og for sent fremsendte – og dermed urigtige – vedrørende videregivelsen af appellantens personoplysninger til modtagere i tredjelande, således som Retten fastslog.

  • Retten begik ligeledes en retlig fejl ved at fastslå, at appellanten ikke havde fremført andre argumenter vedrørende tilsidesættelse af gennemsigtighedsprincippet, og at dette klagepunkt derfor var uden selvstændigt indhold i forhold til argumentet om, at Kommissionen ikke havde overholdt fristen for at besvare anmodningen om oplysninger og havde tilsidesat sin forpligtelse til at meddele begrundelsen for denne tilsidesættelse. En tilsidesættelse af den indsigtsret, der er fastsat i artikel 17 i forordning 2018/1725, indebærer nemlig altid en tilsidesættelse af gennemsigtighedsprincippet i artikel 4, stk. 1, litra a), i forordning 2018/1725.

  • Retten lagde ligeledes fejlagtigt til grund, at Kommissionens tilsidesættelse af artikel 14, stk. 3, i forordning 2018/1725 ikke har forvoldt appellanten immateriel skade. Der foreligger en immateriel skade, der kan erstattes, allerede som følge af, at appellanten er blevet frataget retten til effektivt at udøve de rettigheder, som han er tillagt ved forordning 2018/1725. Desuden udgør det tab af kontrol, som appellanten har lidt, en erstatningsberettiget skade.

Link til sagen C-211/25 P på EU-Domstolens hjemmeside

Europa-Kommisionens anbringender og væsentligste argumenter:

• For det første har Kommissionen gjort gældende, at Retten i den appellerede dom fortolkede og anvendte bevisbyrdereglerne forkert for så vidt angår betingelsen vedrørende overtrædelse af forordning (EU) 2018/1725 ¹ (herefter »forordning 2018/1725«), som det påhvilede sagsøgeren i første instans at godtgøre. Under alle omstændigheder fortolkede og anvendte Retten denne forordnings artikel 46 fejlagtigt, idet den anvendte et forkert kriterium med henblik på at afgøre, om personoplysninger vedrørende sagsøgeren i første instans var blevet overført til et tredjeland.

• For det andet har Kommissionen foreholdt Retten, at den begik en retlig fejl ved at fastslå, at Kommissionen ved at vise et hyperlink på et websted kunne skabe grundlag for at overføre den IP-adresse, der tilhørte sagsøgeren i første instans, til De Forenede Stater, hvilket er omfattet af artikel 46 i forordning 2018/1725. Retten begik desuden en retlig fejl, da den fastslog, at i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet som omhandlet i artikel 47 i forordning 2018/1725 er en overførsel af personoplysninger til et tredjeland kun mulig, hvis den dataansvarlige giver de fornødne garantier som omhandlet i den nævnte forordnings artikel 48, stk. 1.

• For det tredje har Kommissionen gjort gældende, at Retten i den appellerede dom fortolkede og anvendte betingelsen om direkte årsagsforbindelse som fastsat i artikel 65 i forordning 2018/1725 og artikel 340 TEUF forkert. Under alle omstændigheder foretog Retten en urigtig anvendelse af reglerne om fordeling af bevisbyrden for så vidt angår denne betingelse.

• For det fjerde har Kommissionen anført, at Retten i den appellerede dom fortolkede og anvendte betingelsen om »immateriel skade« i artikel 65 i forordning 2018/1725 og om »skade« som omhandlet i artikel 340 TEUF forkert. Under alle omstændigheder foretog Retten en urigtig anvendelse af reglerne om fordeling af bevisbyrden for så vidt angår denne betingelse.

• For det femte og sidste har Kommissionen gjort gældende, at der i den appellerede doms præmis 197 og 198 ikke er givet en passende og tilstrækkelig begrundelse for så vidt angår de betingelser, der er fastsat i artikel 65 i forordning 2018/1725 og artikel 340 TEUF

Link til sagen C-206/25 P på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Den Europæiske Tilsynsførende for Databeskyttelse (EDPS)

Sagsøger i hovedsagen:

WS

Søgsmålsgrunde og væsentligste argumenter

• Første anbringende om, at sagsøgte har tilsidesat sagsøgerens ret til, at EDPS til fordel for sagsøgeren opfylder forpligtelserne i henhold til EUDPR’s artikel 52, stk. 2 og 3, samt artikel 57, stk. 1, litra a), c) og e), navnlig for så vidt som EDPS har undladt at undersøge genstanden for sagsøgerens klage og/eller ikke har grebet ind over for EUIPO’s manglende overholdelse af (i det mindste) EUDPR’s artikel 14, 17, 20 og 23.

• Andet anbringende om, at sagsøgeren har lidt skade, der består i den omstændighed a), at han er bragt i en situation med permanent usikkerhed med hensyn til, hvordan hans personoplysninger behandles af EUIPO, hvilket er en direkte følge af EDPS’s undladelse af at bistå sagsøgeren i udøvelsen af hans rettigheder i henhold til EUDPR, og b) at sagsøgerens stilling i forbindelse med alle (verserende eller fremtidige) retlige skridt mod EUIPO er svækket som følge af EDPS’s manglende undersøgelse og manglen på enhver form for oplysninger, som ville gøre det muligt for sagsøgeren at kontrollere lovligheden af EUIPO’s databehandlingsaktiviteter.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

CRIF GmbH

Sagsøger i hovedsagen:

YO

Det præjudicielle spørgsmål:

• Skal databeskyttelsesforordningens artikel 17 ¹ fortolkes således, at den registrerede, når den dataansvarlige har afsløret vedkommendes personoplysninger ved ulovlig videregivelse heraf, har ret til at forlange, at den dataansvarlige undlader på ny at videregive disse personoplysninger ulovligt, når den registrerede ikke forlanger, at den dataansvarlige sletter de pågældende oplysninger, fordi den registrerede i så fald ikke længere kan findes i den dataansvarliges database, hvilket kan vanskeliggøre eller endog forhindre indgåelse af kontrakter, når den dataansvarliges kunder træffer deres forretningsmæssige beslutninger på baggrund af, at de har fundet den registrerede i den dataansvarliges database?

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Gegevensbeschermingsautoriteit

Sagsøger i hovedsagen:

Bisdom Gent VZW

De præjudicielle spørgsmål:

• Skal artikel 17 i [den generelle forordning om databeskyttelse] ¹ , sammenholdt med retten til beskyttelse af personoplysninger som omhandlet i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, retten til at tænke frit og til samvittigheds- og religionsfrihed som omhandlet i chartrets artikel 10 og artikel 9 [i konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder] samt princippet om adskillelse af kirke og stat som omhandlet i artikel 19 og 20 i Belgische Grondwet (Belgiens forfatning), fortolkes således, at en person, der blev døbt som mindreårig og ønsker at distancere sig fra den romersk-katolske kirke efter at være blevet myndig, har ret til sletning af sine personoplysninger fra dåbsregistret?

• Gør det i denne forbindelse en forskel for anvendelsen af artikel 17, stk. 1, litra c) [i den generelle forordning om databeskyttelse], at opførelsen i dåbsregistret ifølge den dataansvarlige berører de ovennævnte grundlæggende rettigheder (religionsfriheden) for den dataansvarlige og for det romersk-katolske kirkefællesskab, som denne repræsenterer?

• Gør det i denne forbindelse en forskel, at dette dåbsregister ikke er digitalt, men derimod er et særligt fysisk medie i form af en dobbeltsidet bog, hvor der også på bagsiden er opført oplysninger om andre registrerede?

• Gør det i denne forbindelse en forskel, at bogen selv er et historisk klenodie, og at dåbsregistret er en enestående kilde til historiske oplysninger, som ikke bevares nogen andre steder, således at databehandlingen også sker af hensyn til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål som omhandlet i artikel 17, stk. 3, litra d) [i den generelle forordning om databeskyttelse]?

• Såfremt der gælder en ret til sletning som omhandlet i artikel 17, stk. 1 [i den generelle forordning om databeskyttelse], og ikke foreligger en undtagelse fra denne ret i henhold til artikel 17, stk. 3 [i den generelle forordning om databeskyttelse], overholdes denne ret til sletning da på lige så gyldig vis af en anmærkning i dåbsregistret om, at personen har forladt kirken?

Link til sagen på EU-Domstolens hjemmeside

Tiltalte i straffesagen: 

WE

Det præjudicielle spørgsmål:

• Er en national retsforskrift – NPK’s artikel 272, stk. 1 – hvorefter en tiltaltes personoplysninger vedrørende fødested, kulturel identitet, nationalitet, bopæl, uddannelse, civilstand og tidligere straffe behandles (indsamles, registreres og opbevares) med henblik på at fastslå den pågældendes identitet, forenelig med artikel 4, stk. 1, litra [c], artikel 8, stk. 1, og artikel 10, stk. 1, i direktiv 2016/680 ¹ , når de personoplysninger, der indsamles herved, på ingen måde er nødvendige til brug for straffesagen?

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Rahapesu Andmebüroo

Sagsøger i hovedsagen:

 X

De præjudicielle spørgsmål:

• Skal artikel 2, stk. 2, litra d), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 ¹ af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og artikel 2, stk. 1, sammenholdt med artikel 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 ² af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA fortolkes således, at en finansiel efterretningsenheds mulige behandling af personoplysninger kan udgøre en behandling af personoplysninger, som foretages af en kompetent myndighed med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, selv om den finansielle efterretningsenhed ikke er en efterforskningsmyndighed i strafferetsplejelovens forstand?

• Skal artikel 23, stk. 2, litra h), i den generelle forordning om databeskyttelse og artikel 15, stk. 3, i direktiv 2016/680 fortolkes således, at det i en administrativ procedure eller en retssag også kan afslås at meddele en registreret den retsakt, på grundlag af hvilken den pågældende fik afslag på indsigt i sine personoplysninger, for at forhindre, at det bekræftes eller afkræftes, at vedkommendes personoplysninger er blevet behandlet, når den registrerede ikke har kendskab til, om en sådan behandling har fundet sted eller ej, og kan det i et sådant tilfælde også undlades at give den registrerede indsigt i, om vedkommende har mulighed for at påberåbe sig den foranstaltning, der er fastsat i artikel 17, stk. 1, i direktiv 2016/680?

• Skal artikel 15 i direktiv 2016/680 henholdsvis artikel 23 i den generelle forordning om databeskyttelse fortolkes således, at en national lovgivning, som giver lederen af en finansiel efterretningsenhed beføjelse til at begrænse den registreredes rettigheder, og som, sammenholdt med andre, herunder også trinlavere retsforskrifter, angiver formålet med, betingelserne for samt det tidsmæssige og stedlige omfang af begrænsningen af den registreredes rettigheder, er forenelig med disse bestemmelser?

• Skal artikel 15 i direktiv 2016/680 henholdsvis artikel 23 i den generelle forordning om databeskyttelse fortolkes således, at en national lovgivning, som fuldstændig begrænser udøvelsen af den ret, der er fastsat i artikel 14 i direktiv 2016/680 henholdsvis artikel 15 i den generelle forordning om databeskyttelse, indtil oplysningerne tilintetgøres, således at det er umuligt for den registrerede nogensinde at få indsigt i disse oplysninger, er forenelig med disse bestemmelser?

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Roma Capitale

Sagsøger i hovedsagen:

Your personal driver Soc. coop.

Det præjudicielle spørgsmål:

• Skal EU-retten – og navnlig artikel 5, stk. 4, TEU samt artikel 5, stk. 1, litra b), c) og e), og artikel 6 i forordning (EU) 2016/679 ¹ – fortolkes således, at den (ikke) er til hinder for en lovgivning om indsamling og behandling af passagerers personoplysninger som den, der er indeholdt i artikel 11 i lov nr. 21 af 15. januar 1992, som ændret ved lov nr. 12 af 11. februar 2019?

Link til sagen på EU-Domstolens hjemmeside