Presse og Information

PRESSEMEDDELELSE NR. 46/06

30. maj 2006

Domstolens dom i de forenede sager C-317/04 og C-318/04

Europa-Parlamentet mod Rådet for Den Europæiske Union

og Europa-Parlamentet mod Kommissionen for De Europæiske Fællesskaber

Domstolen annullerer Rådets afgørelse om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om behandling og overførsel af visse Personoplysninger samt Kommissionens beslutning om tilstrækkelig beskyttelse af disse oplysninger

Kommissionens beslutning, der konstaterer, at De Forenede Stater sikrer tilstrækkelig beskyttelse af visse personoplysninger, og Rådets afgørelse, der godkender indgåelsen af en aftale om videregivelse af disse oplysninger til De Forenede Stater, blev ikke udstedt i henhold til korrekt hjemmel.

Efter terrorangrebene den 11. september 2001 vedtog De Forenede Stater en lovgivning, hvorefter luftfartsselskaber, der foretager flyvninger til, fra eller over De Forenede Stater, skulle give de amerikanske myndigheder elektronisk adgang til oplysningerne i luftfartsselskabernes reservations-/afgangskontrolsystemer, der betegnes »Passenger Name Records« (PNR).

Kommissionen fandt, at disse bestemmelser kunne komme i konflikt med Fællesskabets og medlemsstaternes lovgivning om beskyttelse af personoplysninger, og indledte derfor forhandlinger med de amerikanske myndigheder. Efter disse forhandlinger vedtog Kommissionen den 14. maj 2004 en beslutning [1], hvori det konstateres, at De Forenede Staters told- og grænsekontrolmyndighed (United States Bureau of Customs and Border Protection) (CBP) sikrer tilstrækkelig beskyttelse af PNR-oplysninger, der videregives fra Fællesskabet (beslutningen om tilstrækkelig beskyttelse). Den 17. maj 2004 vedtog Rådet en afgørelse [2], der godkender indgåelsen af en aftale mellem Det Europæiske Fællesskab og De Forenede Stater om behandling og overførsel af PNR-oplysninger til CBP foretaget af luftfartsselskaber, der er beliggende på Fællesskabets medlemsstaters område. Aftalen blev undertegnet i Washington den 28. maj 2004 og trådte i kraft samme dag.

Europa-Parlamentet har for De Europæiske Fællesskabers Domstol nedlagt påstand om annullation af Rådets afgørelse (sag C-317/04) og af beslutningen om tilstrækkelig beskyttelse (sag C-318/04), idet det bl.a. har gjort gældende, at beslutningen om tilstrækkelig beskyttelse er vedtaget ved overskridelse af Kommissionens beføjelser, at artikel 95 EF [3] ikke udgør den rette hjemmel for afgørelsen om godkendelse af aftalen, og at der i begge sager er sket en tilsidesættelse af grundlæggende rettigheder.

Den Europæiske Tilsynsførende for Databeskyttelse optræder for første gang siden dets oprettelse som intervenient for Domstolen, i begge sager til støtte for Parlamentets påstande.

Domstolen har i dom afsagt dags dato annulleret begge retsakter

Beslutningen om tilstrækkelig beskyttelse

Domstolen behandler først spørgsmålet om, hvorvidt Kommissionen gyldigt kunne vedtage beslutningen om tilstrækkelig beskyttelse med hjemmel i direktiv 95/46/EF [4]. I denne forbindelse bemærker Domstolen, at ifølge direktivets artikel 3, stk. 2, gælder dette ikke for behandling af personoplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område.

Herefter konstaterer Domstolen, at kravet om videregivelse ifølge beslutningen om tilstrækkelig beskyttelse har hjemmel i amerikansk lovgivning, der bl.a. vedrører en forbedring af sikkerheden, at Fællesskabet fuldt ud støtter De Forenede Stater i bekæmpelsen af terrorisme, og at PNR-oplysninger udelukkende må anvendes til at forebygge og bekæmpe terrorisme og dermed forbundne forbrydelser samt andre alvorlige forbrydelser, herunder organiseret kriminalitet. Det følger af det anførte, at videregivelsen af PNR-oplysninger til CBP udgør behandling, der vedrører den offentlige sikkerhed og statens aktiviteter på det strafferetlige område.

Selv om PNR-oplysningerne ganske vist først indsamles af luftfartsselskaberne som led i en aktivitet, der er underlagt fællesskabsretten, nemlig salg af en flybillet, der giver ret til en tjenesteydelse, er den behandling af oplysningerne, der er tale om i beslutningen om tilstrækkelig beskyttelse, imidlertid af en helt anden art. Denne beslutning vedrører nemlig ikke behandling af oplysninger, der er nødvendige for at levere en tjenesteydelse, men behandling, som anses for nødvendig for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål.

Den omstændighed, at PNR-oplysningerne er blevet indsamlet af private erhvervsdrivende til kommercielle formål, og at det er disse erhvervsdrivende, som forestår oplysningernes videregivelse til en tredjestat, er ikke til hinder for, at videregivelsen kan anses for databehandling, der ikke er omfattet af direktivet. Videregivelsen sker nemlig inden for rammer, der er indført af de statslige myndigheder, og som vedrører den offentlige sikkerhed.

Domstolen fastslår derfor, at beslutningen om tilstrækkelig beskyttelse ikke er omfattet af direktivets anvendelsesområde, eftersom den vedrører behandling af personoplysninger, der er udelukket herfra. Følgelig annullerer Domstolen beslutningen om tilstrækkelig beskyttelse. Domstolen finder det ikke nødvendigt at behandle Parlamentets øvrige anbringender.

Rådets afgørelse

Domstolen fastslår, at artikel 95 EF, sammenholdt med direktivets artikel 25 [5], ikke giver Fællesskabet kompetence til at indgå den omhandlede aftale med De Forenede Stater. Aftalen vedrører nemlig samme videregivelse af oplysninger, som er omhandlet i beslutningen om tilstrækkelig beskyttelse, og dermed vedrører aftalen behandling af oplysninger, der er udelukket fra direktivets anvendelsesområde. Følgelig annullerer Domstolen Rådets afgørelse om godkendelse af aftalen og finder det ikke nødvendigt at behandle Parlamentets øvrige anbringender.

Begrænsning af dommens tidsmæssige virkninger

Da aftalen er gældende i en periode på 90 dage fra dens opsigelse, har Domstolen af retssikkerhedsmæssige grunde, og for at beskytte de berørte personer, truffet afgørelse om at opretholde virkningen af beslutningen om tilstrækkelig beskyttelse indtil den 30. september 2006.