Retsudvalget 2015-16
REU Alm.del Bilag 4
Offentligt
1553713_0001.png
Lovafdelingen
Dato:
7. oktober 2015
Kontor:
EU-retskontoret
Sagsbeh: Sanne Renée Stengaard
Jensen
Sagsnr.: 2015-3051/01-0032
Dok.:
1754939
Supplerende samlenotat vedrørende de sager inden for Justitsministe-
riets ansvarsområde, der forventes behandlet på rådsmødet (retlige og
indre anliggender) og mødet i Det Blandede Udvalg den 8.-9. oktober
2015
Side
2-6
Dagsordenspunkt 10 Konsekvenser på baggrund af Domstolens
dom i sag C-362/14 (Maximillian Schrems
mod Data Protection Commisioner)
- information fra Kommissionen
KOM-dokument foreligger ikke
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
 REU, Alm.del - 2015-16 - Bilag 4: Supplerende samlenotat vedrørende Justitsministeriets ansvarsområde, der forventes behandlet på rådsmødet (retlige og indre anliggender) den 8.-9. oktober 2015, fra justitsministeren
Dagsordenspunkt 10: EU-Domstolens dom i sagen C-362/14,
Maximilian Schrems mod Data Protection Commissioner
Nyt notat.
KOM dokument foreligger ikke.
Resumé
Ved dom af 6. oktober 2015 i sagen C-362/14, Maximilian Schrems mod
Data Protection Commissioner, har EU-Domstolen erklæret Kommissio-
nens beslutning af 26. juli 2000 om Safe Harbor-ordningen ugyldig. På
rådsmødet den 8. og 9. oktober 2015 vil Kommissionen orientere om kon-
sekvenserne af dommen. Kommissionen har i forlængelse af dommen op-
lyst, at man vil fortsætte det allerede igangværende arbejde med at udar-
bejde et nyt og sikkert grundlag for overførsel af personoplysninger fra
EU til USA. Fra dansk side vil man tage orienteringen fra Kommissionen
til efterretning.
1. Baggrund
Det følger af persondataloven og det bagvedliggende databeskyttelses-
direktiv – Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober
1995 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger – at der
som udgangspunkt alene må overføres personoplysninger til et tredjeland
(dvs. et land uden for EU og EØS), hvis dette land sikrer et tilstrækkeligt
beskyttelsesniveau.
Kommissionen kan i medfør af databeskyttelsesdirektivet fastslå, at et
tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Kommissionen har
ved en beslutning af 26. juli 2000 (2000/520/EF) fastslået, at virksomheder
i USA, der har tilsluttet sig den såkaldte Safe Harbor-ordning, anses for at
sikre et tilstrækkeligt beskyttelsesniveau.
Den 6. oktober 2015 afsagde EU-Domstolen dom i sagen C-362/14,
Maximilian Schrems mod Data Protection Commissioner.
I dommen besvarer EU-Domstolen præjudicielle spørgsmål vedørende
fortolkningen af artikel 25, stk. 6, og artikel 28 i direktiv 95/46/EF.
Dommen vedrører endvidere gyldigheden af Kommissionens beslutning
2
 REU, Alm.del - 2015-16 - Bilag 4: Supplerende samlenotat vedrørende Justitsministeriets ansvarsområde, der forventes behandlet på rådsmødet (retlige og indre anliggender) den 8.-9. oktober 2015, fra justitsministeren
2000/520/EF om tilstrækkeligheden af den beskyttelse, som opnås ved
hjælp af safe harbor-principperne og de dertil hørende hyppige spørgsmål
fra det amerikanske handelsministerium.
På rådsmødet (retlige og indre anliggender) den 8. og 9. oktober 2015 vil
Kommissionen orientere om konsekvenserne af EU-Domstolens dom i sa-
gen.
2. Indhold
Dommen af 6. oktober 2015 er afsagt i forbindelse med, at EU-Domstolen
har fået forelagt præjudicielle spørgsmål af den øverste retsinstans i Irland
(High Court).
Anmodningen om en præjudiciel afgørelse er indgivet i forbindelse med en
tvist mellem Maximillian Schrems og den irske kommissær for databe-
skyttelse vedrørende sidstnævntes afslag på at behandle en klage, der blev
indgivet af Schrems som følge af, at Facebook Ireland videregiver sine
brugeres personoplysninger til USA og opbevarer dem på servere belig-
gende i USA.
Schrems indgav den 25. juni 2013 en klage til den irske kommissær for da-
tabeskyttelse, hvori han i det væsentlige anmodede denne om at udøve sine
vedtægtsmæssige beføjelser ved at forbyde Facebook Ireland at videregive
hans personoplysninger til USA. Schrems gjorde gældende, at den gæl-
dende lovgivning og praksis i USA ikke sikrede en tilstrækkelig beskyttel-
se af de personoplysninger, der opbevares på landets område, mod den
overvågningsvirksomhed, som de offentlige myndigheder udøvede dér.
Den irske kommissær for databeskyttelse, der var af den opfattelse, at han
ikke var forpligtet til at foretage en undersøgelse af de faktiske omstæn-
digheder, som Schrems havde gjort opmærksom på i sin klage, afviste kla-
gen som ugrundet. Den irske kommissær for databeskyttelse pegede bl.a.
på, at de klagepunkter, som Schrems havde anført, ikke med føje kunne
fremsættes, idet ethvert spørgsmål om, hvorvidt beskyttelsen af personop-
lysningerne var tilstrækkelig i USA, skulle afgøres i overensstemmelse
med beslutning 2000/520/EF, hvorefter Kommissionen har fastslået, at
USA sikrer et tilstrækkeligt beskyttelsesniveau.
Schrems anlagde i forlængelse heraf en sag ved High Court med henblik
på prøvelse af afgørelsen fra den irske kommissær for databeskyttelse.
3
 REU, Alm.del - 2015-16 - Bilag 4: Supplerende samlenotat vedrørende Justitsministeriets ansvarsområde, der forventes behandlet på rådsmødet (retlige og indre anliggender) den 8.-9. oktober 2015, fra justitsministeren
1553713_0004.png
High Court har i forbindelse med sagens behandling stillet EU-Domstolen
præjudicielle spørgsmål. High Court har ønsket EU-Domstolens stillingta-
gen til, om og i hvilket omfang artikel 25, stk. 6, i direktiv 95/46, sam-
menholdt med artikel 7, 8 og 47 i EU’s Charter om grundlæggende rettig-
heder, skal fortolkes således, at en afgørelse vedtaget i henhold til denne
bestemmelse, såsom beslutning 2000/520/EF, hvorved Kommissionen
fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er til
hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direkti-
vets artikel 28 kan behandle en persons anmodning om beskyttelse af ved-
kommendes rettigheder og frihedsrettigheder i forbindelse med behandlin-
gen af personoplysninger, der vedrører den pågældende, og som er blevet
videregivet fra en medlemsstat til dette tredjeland, når denne person gør
gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer
et tilstrækkeligt beskyttelsesniveau.
EU-Domstolen har endvidere i forbindelse med sagens behandling fundet
anledning til at undersøge, om Kommissionens beslutning 2000/520/EF er
i overensstemmelse med de krav, som følger af databeskyttelsesdirektivet
sammenholdt med EU’s charter om grundlæggende rettigheder.
EU-Domstolen kommer i sin dom frem til, at artikel 25, stk. 6, i databe-
skyttelsesdirektivet sammenholdt med artikel 7, 8 og 47 i EU’s charter om
grundlæggende rettigheder, skal fortolkes sådan, at en afgørelse vedtaget i
henhold til denne bestemmelse, såsom Kommissionens beslutning
2000/520/EF om tilstrækkeligheden af den beskyttelse, der opnås ved
hjælp af safe harbor-principperne mv., hvorved Europa-Kommissionen
fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er
til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i arti-
kel 28 i direktivet behandler en persons anmodning om beskyttelse af ved-
kommendes rettigheder og frihedsrettigheder i forbindelse med behandlin-
gen af personoplysninger, der vedrører den pågældende, og som er blevet
videregivet fra en medlemsstat til dette tredjeland, når denne person gør
gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer
et tilstrækkeligt beskyttelsesniveau.
EU-Domstolen kommer endvidere frem til, at Kommissionens beslutning
2000/520/EF er ugyldig. EU-Domstolen lægger bl.a. vægt på, at en ord-
ning som safe harbor-ordningen forudsætter effektive afslørings- og kon-
trolmekanismer, som gør det muligt at identificere og sanktionere eventu-
elle tilsidesættelser af reglerne (pr. 81), at modtagere i USA af oplysninger
fra EU er forpligtet til uden begrænsning at se bort fra safe harbor-
4
 REU, Alm.del - 2015-16 - Bilag 4: Supplerende samlenotat vedrørende Justitsministeriets ansvarsområde, der forventes behandlet på rådsmødet (retlige og indre anliggender) den 8.-9. oktober 2015, fra justitsministeren
1553713_0005.png
principperne, når disse er i modstrid med krav i henhold til amerikansk
lovgivning (pr. 85-86), at der ikke foreligger mulighed for en effektiv
domstolsprøvelse for de registrerede (pr. 89), og at Kommissionen har
overskredet sin kompetence, som den har fået tillagt ved artikel 25, stk. 6, i
databeskyttelsesdirektivet (pr. 102-104).
3. Gældende dansk ret
Det følger af persondataloven og det bagvedliggende databeskyttelses-
direktiv, at der alene må overføres personoplysninger til et tredjeland (dvs.
et land uden for EU og EØS), hvis dette land sikrer et tilstrækkeligt be-
skyttelsesniveau.
Kommissionen kan i medfør af databeskyttelsesdirektivet fastslå, at et
tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Kommissionen har
ved en beslutning af 26. juli 2000 (2000/520/EF) fastslået, at virksomheder
i USA, der har tilsluttet sig den såkaldte Safe Harbor-ordning, anses for at
sikre et tilstrækkeligt beskyttelsesniveau.
4. Lovgivningsmæssige og økonomiske konsekvenser
Dommen indebærer, at der ikke kan ske overførsel af personoplysninger til
virksomheder i USA under henvisning til, at de pågældende virksomheder
har tilsluttet sig Safe Harbor-ordningen.
Overførsel af personoplysninger til virksomheder i USA vil herefter – i
lighed med hvad der gælder ved overførsel af personoplysninger til andre
tredjelande – skulle ske på et andet grundlag som f.eks. udtrykkeligt sam-
tykke fra den registrerede eller en aftale baseret på Kommissionens stan-
dardkontraktbestemmelser for overførsel af personoplysninger til tredje-
lande.
Kommissionen har gennem længere tid arbejdet på en modernisering af
Safe Harbor-ordningen.
Kommissionen har oplyst, at Kommissionen i lyset af EU-Domstolens
dom af 6. oktober 2015 i sag C-362/14 vil fortsætte arbejdet med et nyt og
sikkert grundlag for overførsel af personoplysninger fra EU til USA.
Dommen vurderes ikke umiddelbart at have statsfinansielle konsekvenser.
5
 REU, Alm.del - 2015-16 - Bilag 4: Supplerende samlenotat vedrørende Justitsministeriets ansvarsområde, der forventes behandlet på rådsmødet (retlige og indre anliggender) den 8.-9. oktober 2015, fra justitsministeren
Det er ikke på nuværende tidspunkt muligt at skønne over eventuelle sam-
funds- eller erhvervsøkonomiske konsekvenser af dommen.
5. Høring
Der er ikke foretaget en høring.
6. Nærhedsprincippet
Sagen rejser ikke spørgsmål i forhold til nærhedsprincippet.
7. Andre landes kendte holdninger
Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-
lemsstaters holdning.
8. Generel dansk holdning
Kommissionen har oplyst, at man i lyset af EU-Domstolens dom vil fort-
sætte det allerede igangværende arbejde med at udarbejde et nyt og sikkert
grundlag for overførsel af personoplysninger fra EU til USA.
Dette arbejde vil man fra dansk side afvente.
9. Europa-Parlamentet
Sagen skal ikke forelægges for Europa-Parlamentet.
10. Specialudvalget for politimæssigt og retligt samarbejde
Sagen har været forelagt Specialudvalget for politimæssigt og retligt sam-
arbejde skriftligt den 7. oktober 2015.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.
6