Verserende retssager ved EU-Domstolen

Sagsøgere i hovedsagen:

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

Faktum i Hovedsagen:

Tvisten mellem parterne drejer sig om, hvorvidt der ved indførelse af livestreamundervisning ved hjælp af videokonferencesystemer foruden forældrenes samtykke for deres børn eller myndige elevers samtykke også kræves samtykke fra den pågældende lærer, eller om den databehandling, der sker i denne forbindelse, er omfattet af § 23, stk. 1, første punktum, i Hessens lov om databeskyttelse og informationsfrihed (»HDSIG«), samt spørgsmålet om, hvorvidt der i henhold til de relevante regler for medarbejderrepræsentation i delstaten Hessen foreligger en medbestemmelsesret eller kun en ret til inddragelse.

HDSIG’s § 23 og § 86 i Hessens tjenestemandslov (»HBG«) er ifølge lovgivers vilje en mere specifik bestemmelse som omhandlet i artikel 88, stk. 1, i forordningen.

De præjudicielle spørgsmål:

1. Skal artikel 88, stk. 1 i forordningen, fortolkes således, at en bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i artikel 88, stk. 1, i forordning skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til artikel 88, stk. 2, i forordning?

2. Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til artikel 88, stk. 2 i forordning alligevel fortsat finde anvendelse?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 22. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:
 

• Artikel 88, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således:
• En lovbestemmelse, der er fastsat af en medlemsstat, udgør kun en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, hvis den opfylder kravene i henhold til artikel 88, stk. 2, i forordning 2016/679.
• Hvis den pågældende lovbestemmelse ikke opfylder kravene i henhold til artikel 88, stk. 2, i forordning 2016/679, kan den kun, i påkommende tilfælde, finde anvendelse, for så vidt som den kan støttes på andre bestemmelser i denne forordning eller på nationale bestemmelser med henblik på tilpasning såsom de i artikel 6, stk. 2, nævnte.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er blevet indkaldt til mundtlig forhandling den 30. juni 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Facebook Inc.

Facebook Ireland Ltd.

Facebook Deutschland GmbH

Sagsøgte i hovedsagen:

Bundeskartellamt

De præjudicielle spørgsmål:

1.

a) Er artikel 51 ff. i forordning nr. 2016/679 til hinder for, at en national kartelmyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet artikel 51 ff. i forordning nr. 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning nr. 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?

b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som [org. s. 3] omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det første spørgsmål besvares bekræftende:

2.

a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning nr. 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?

b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning nr. 2016/679?

3.

Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning nr. 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og [org. s. 4] fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?

4.

Kan også

– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikkemarkedsføringsmæssig kommunikation med brugeren,

– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,

– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,

– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,

– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd, i en sådan

situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.comkonto og anvender dem?

5.

Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede [org. s. 5] i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning nr. 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?

6.

Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning nr. 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning nr. 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?

Såfremt det første spørgsmål besvares benægtende:

7.

a) Kan en national kartelmyndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning nr. 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning nr. 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning nr. 2016/679

b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 20. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 51-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en konkurrencemyndighed, som led i sine beføjelser som omhandlet i konkurrencereglerne, ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i denne forordning, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til nævnte forordning kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.
• Artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse.
  Artikel 9, stk. 2, litra e, skal fortolkes således, at en bruger ikke tydeligvis har offentliggjort oplysningerne, når oplysningerne afgives ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.
• Artikel 6, stk. 1, litra b, c, d, e og f, i forordning 2016/679 skal fortolkes således, at en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger eller visse af de aktiviteter, der udgør denne praksis, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt:
  • behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen
  • behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt
  • behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.
• Artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, i forordning 2016/679 skal fortolkes således, at alene den omstændighed, at en virksomhed, der driver et socialt netværk, er markedsdominerende marked for sociale onlinenetværk for private brugere, ikke i sig selv kan berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, sin gyldighed som omhandlet i denne forordnings artikel 4, nr. 11. En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige , for det andet en eventuel forpligtigelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UI

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

1. Er det en forudsætning for at kunne tilkende erstatning i henhold til artikel 82 i forordning [EU] 2016/679, at det ud over at det fastslås, at bestemmelser i den generelle forordning om databeskyttelse er overtrådt, også konstateres, at sagsøgeren har lidt en skade, eller er selve overtrædelsen af bestemmelser i den generelle forordning om databeskyttelse nok til at kunne tilkende en erstatning?

2. Opstiller EU-retten for så vidt angår fastsættelse af erstatningen også andre bestemmelser end effektivitetsprincippet og ækvivalensprincippet?

3. Er det foreneligt med EU-retten at lægge til grund, at det er en forudsætning for at tilkende erstatning for immateriel skade, at en konsekvens eller følge af overtrædelsen i det mindste har en vis betydning, der går videre end den vrede, som overtrædelsen har udløst?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 6. oktober 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes som følger:
  • Med henblik på anerkendelse af retten til erstatning for en skade, som en person har lidt som følge af en overtrædelse af den nævnte forordning, er en simpel overtrædelse af en bestemmelse i sig selv ikke tilstrækkelig, hvis denne overtrædelse ikke ledsages af en deraf følgende materiel eller immateriel skade.
  • Den erstatning for immateriel skade, som nævnte forordning omhandler, omfatter ikke den utilfredshed, som den berørte person kan føle som følge af overtrædelse af bestemmelserne i forordning 2016/679. Det tilkommer de nationale retter at afgøre, hvornår en subjektiv fornemmelse af ubehag på grund af dens kendetegn i hvert enkelt tilfælde kan anses for en immateriel skade.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status: 

Domstolen har besluttet at træffe afgørelse uden domsforhandling.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

VB

Sagsøgte i hovedsagen:

Natsionalna agentsia za prihodite (det nationale agentur for indtægter)

De præjudicielle spørgsmål:

1. Skal artikel 24 og 32 i forordning (EU) nr. 2016/579 fortolkes således, at det forhold, at en uautoriseret videregivelse eller en uautoriseret adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 er blevet foretaget af personer, som ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, er tilstrækkeligt til at lægge til grund, at de iværksatte tekniske og organisatoriske foranstaltninger ikke er passende?

2. Såfremt det første spørgsmål besvares benægtende, hvilken genstand og hvilket omfang skal rettens legalitetskontrol da have ved vurderingen af, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet som omhandlet i artikel 32 i forordning (EU) nr. 2016/679, er passende?

3. Såfremt det første spørgsmål besvares benægtende, skal ansvarlighedsprincippet som omhandlet i artikel 5, stk. 2, og artikel 24 i forordning (EU) nr. 2016/679, sammenholdt med 74. betragtning hertil, da fortolkes således, at bevisbyrden for, at de iværksatte tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i forordning (EU) nr. 2016/679 er passende, påhviler den dataansvarlige i forbindelse med et søgsmål i henhold til forordningens artikel 82, stk. 1? Kan indhentningen af en sagkyndig udtalelse anses for et bevismiddel, der er nødvendigt for og tilstrækkeligt til at fastslå, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet, i en sag som den foreliggende var passende, hvis den uautoriserede adgang til og den uautoriserede videregivelse af personoplysninger skyldtes et »hackerangreb«?

4. Skal artikel 82, stk. 3, i forordning (EU) nr. 2016/679 fortolkes således, at den uautoriserede videregivelse af eller den uautoriserede adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 som i den foreliggende sag gennem et »hackerangreb« udført af personer, der ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, udgør en omstændighed, som den dataansvarlige ikke er skyld i, og som kan begrunde en fritagelse for erstatningsansvar?

5. Skal artikel 82, stk. 1 og 2, i forordning (EU) nr. 2016/679, sammenholdt med 85. og 146. betragtning hertil, fortolkes således, at det i en sag som den foreliggende, hvor tilsidesættelsen af beskyttelsen af personoplysninger kommer til udtryk ved en uautoriseret adgang til og formidling af personoplysninger gennem et »hackerangreb«, kun er den berørte persons bekymringer, frygt og angst for et muligt fremtidigt misbrug af personoplysninger, der er omfattet af begrebet immateriel skade, som skal fortolkes bredt, og dermed berettiger til erstatning, hvis der ikke er blevet konstateret et sådant misbrug og/eller den berørte person ikke er blevet påført nogen yderligere skade?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Den 25. februar 2022 er der sket forkyndelse af skriftlige indlæg. 

Domstolen har den 3. oktober 2022 besluttet af træffe afgørelse uden domsforhandling.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

 Maximilian Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Ltd

De præjudicielle spørgsmål:

1. Skal bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a) og b), fortolkes således, at lovligheden af kontraktbestemmelser i almindelige tjenestevilkår vedrørende platformskontrakter som de i sagen omhandlede (navnlig kontraktbestemmelser som: »I stedet for at betale […] ved at bruge de Facebook-produkter, der er dækket af disse vilkår, accepterer du, at vi kan vise dig annoncer […] Vi bruger dine personoplysninger […] til at vise dig annoncer, der er mere relevante for dig.«), som omfatter behandling af personoplysninger til indsamling og analyse af oplysninger med henblik på personaliseret reklame, skal vurderes på grundlag af kravene i databeskyttelsesforordningens artikel 6, stk. 1, litra a), sammenholdt med samme forordnings artikel 7, som ikke kan erstattes med henvisning til artikel 6, stk. 1, litra b)?

2. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra c) (dataminimering), fortolkes således, at alle personoplysninger, som en platform som den i hovedsagen omhandlede har til rådighed (navnlig gennem den registrerede eller gennem tredjeparter på eller uden for platformen), uden begrænsninger med hensyn til tid eller oplysningernes art kan indsamles, analyseres og behandles med henblik på målrettet reklame?

3. Skal databeskyttelsesforordningens artikel 9, stk. 1, fortolkes således, at bestemmelsen finder anvendelse på behandlingen af oplysninger, som muliggør en målrettet filtrering af særlige kategorier af personoplysninger såsom politisk anskuelse eller seksuel orientering (f.eks. til reklameformål), selv om den dataansvarlige ikke sondrer mellem disse oplysninger?

4. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra b), sammenholdt med artikel 9, stk. 2, litra e), fortolkes således, at en persons ytring om sin egen seksuelle orientering i forbindelse med en paneldiskussion tillader behandling af andre oplysninger om den seksuelle orientering med henblik på indsamling og analyse af oplysninger med henblik på personaliseret reklame?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 28. marts 2022.

Der er den 6. maj 2022 sket udsættelse af sagen indtil domsafsigelse er sket i sag C-252/21.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

F.F.

Sagsøgte i hovedsagen:

Österreichische Datenschutzbehörde og CRIF GmbH

De præjudicielle spørgsmål:

1. Skal begrebet »kopi« i artikel 15, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 fortolkes således, at der derved forstås en fotokopi henholdsvis en telefax eller en elektronisk kopi af en (elektronisk) oplysning, eller omfatter begrebet også, i overensstemmelse med fortolkningen af begrebet i tyske, franske og engelske ordbøger en »Abschrift«, »double« (»duplicata«) eller »transcript«?

2. Skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, hvorefter »(d)en dataansvarlige udleverer en kopi af de personoplysninger, der behandles«, fortolkes således, at bestemmelsen indeholder en generel ret for en registreret til at få udleveret en kopi – også – af hele dokumenter, hvori den registreredes personoplysninger behandles henholdsvis til at få udleveret en kopi af et uddrag af en database i tilfælde af, at personoplysningerne behandles i en sådan, eller giver bestemmelsen – kun – den registrerede ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang?

3. Såfremt det andet spørgsmål besvares således, at den registrerede kun har ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang, skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, da fortolkes således, at det henset til de behandlede oplysningers art (f.eks. for så vidt angår diagnoser, undersøgelsesresultater eller vurderinger, som er nævnt i 63. betragtning, eller skriftligt materiale i forbindelse med en prøve som omhandlet i Den Europæiske Unions Domstols dom af 20.12.2017 , og kravet om gennemsigtighed i databeskyttelsesforordningens artikel 12, stk. 1, i konkrete tilfælde alligevel kan være nødvendigt også at udlevere tekstafsnit eller hele dokumenter til den registrerede?

4. Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres [til den registrerede] [...] i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved alene forstås de i artikel 15, stk. 3, første punktum, nævnte »personoplysninger, der behandles«?

a. Såfremt det fjerde spørgsmål besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved desuden også forstås informationen i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra a)-h)?

b. Såfremt det fjerde spørgsmål, litra a), også besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved ud over de »personoplysninger, der behandles« og den i artikel 15, stk. 1, litra a)-h) nævnte information eksempelvis forstås tilhørende metadata?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 15. december 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 15, stk. 3, første punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at begrebet »kopi« i denne bestemmelse skal opfattes som en uændret reproduktion i en fysisk og permanent, letforståelig form af de personoplysninger, som den registrerede har anmodet om udlevering af, som gør det muligt for den registrerede effektivt at udøve retten til indsigt i sine personoplysninger, således at denne opnår fuldt kendskab til alle de behandlede personoplysninger – herunder eventuelle yderligere oplysninger, som er genereret på grundlag af behandlingen, såfremt også disse oplysninger behandles – for at gøre det muligt for den registrerede at forvisse sig om, at personoplysningerne er rigtige, og kontrollere behandlingens korrekthed og lovlighed, således at den pågældende i givet fald kan udøve de yderligere rettigheder, som databeskyttelsesforordningen giver denne; kopiens nøjagtige form skal bestemmes med udgangspunkt i kendetegnene ved det konkrete tilfælde, og navnlig arten af de personoplysninger, hvori der anmodes om indsigt, og den registreredes behov. Denne bestemmelse giver ikke den registrerede en generel ret til at få udleveret en delvis eller fuldstændig kopi af det dokument, som indeholder den registreredes personoplysninger, eller et uddrag af en database i tilfælde af, at personoplysningerne behandles i en sådan. Denne bestemmelse udelukker imidlertid ikke, at det kan være nødvendigt at udlevere til den registrerede dele af dokumenter, hele dokumenter eller uddrag af databaser, når dette er nødvendigt for at sikre fuld forståelighed af de behandlede personoplysninger, hvori der er anmodet om indsigt.
• Begrebet »oplysninger« i artikel 15, stk. 3, tredje punktum, i forordning 2016/679 skal fortolkes således, at dette begreb udelukkende henviser til en »kopi af de personoplysninger, der behandles« og nævnes i samme stykkes første punktum.«

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Domstolen har den 5. oktober 2022 besluttet af træffe afgørelse uden domsforhandling.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

J.M.

Øvrige procesdeltagere:

Den stedfortrædende repræsentant for den nationale tilsynsmyndighed og Pankki S

De præjudicielle spørgsmål:

1. Skal den ret til indsigt, som tilkommer den registrerede i henhold til databeskyttelsesforordningens artikel 15, stk. 1, i forbindelse med »personoplysninger« som omhandlet i forordningens artikel 4, nr. 1), fortolkes således, at oplysninger, der er indsamlet af den dataansvarlige, og hvoraf det fremgår, hvem der har behandlet den registreredes personoplysninger hvornår og til hvilket formål, ikke udgør oplysninger, som den registrerede har ret til indsigt i, navnlig fordi der er tale om oplysninger om den dataansvarliges medarbejdere?

2. Såfremt det første spørgsmål besvares bekræftende, og den registrerede i medfør af databeskyttelsesforordningens artikel 15, stk. 1, ikke har ret til indsigt i de i dette spørgsmål nævnte oplysninger, fordi de ikke udgør »personoplysninger« om den registrerede som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), skal der i den foreliggende sag da også tages hensyn til de oplysninger, som den registrerede har ret til indsigt i henhold til artikel 15, stk. 1, litra [a) - h)]

a. Hvordan skal formålet med behandlingen som omhandlet i artikel 15, stk. 1, litra a), fortolkes med hensyn til omfanget af den registreredes ret til indsigt, dvs. kan formålet med behandlingen begrunde en ret til indsigt i brugerprotokoldataene, som den dataansvarlige har indsamlet, som f.eks. oplysninger om behandlerens personoplysninger, tidspunktet for og formålet med behandlingen af personoplysningerne?

b. Kan de personer, der har behandlet J.M.’s kundeoplysninger, i denne forbindelse under visse kriterier anses for modtagere af personoplysningerne som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), som den registrerede har ret til at få oplysning om?

3. Er det relevant for sagen, at der er tale om en bank, som udøver en reguleret aktivitet, eller at J.M. på samme tid både arbejdede for banken og var kunde i den?

4. Er det relevant for bedømmelsen af ovenstående spørgsmål, at J.M.’s oplysninger blev behandlet før databeskyttelsesforordningens ikrafttrædelse?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 15. december 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 15, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med forordningens artikel 4, nr. 1), skal fortolkes således, at denne bestemmelse finder anvendelse, såfremt den anmodning om indsigt i informationer, som den registrerede har indgivet til den dataansvarlige for den pågældendes oplysninger, er indgivet efter den 25. maj 2018 bestemmelsen ikke giver den registrerede ret til blandt de informationer, som den dataansvarlige råder over (i givet fald gennem fortegnelser eller registre over aktiviteter), at få kendskab til identiteten på den eller de ansatte, som under den dataansvarliges myndighed og efter instruks fra denne har tilgået den registreredes personoplysninger.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er den 17. maj 2022 sket forkyndelse af skriftlige indlæg.

Der er blevet indkaldt til mundtlig forhandling den 12. oktober 2022.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

ZQ

Sagsøgte i hovedsagen:

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

De præjudicielle spørgsmål:

1. Skal artikel 9, stk. 2, litra h), i forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) fortolkes således, at en sygekasses medicinske tjeneste ikke må behandle sin arbejdstagers helbredsoplysninger, som er en betingelse for vurderingen af den pågældende arbejdstagers erhvervsevne? 

2. Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Skal der i et tilfælde som det foreliggende ud over de i databeskyttelsesforordningens artikel 9, stk. 3, fastsatte bestemmelser også tages hensyn til andre databeskyttelsesretlige bestemmelser, og i givet fald hvilke? 

3. Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Afhænger lovligheden af behandlingen af helbredsoplysninger i et tilfælde som det foreliggende desuden af, at mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt?

4. Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?

5. Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges henholdsvis databehandlerens skyld? Må der navligt tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 18. maj 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Domstolen har den 27. januar 2023 anmodet den forelæggende ret om at uddybe sin forelæggelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

BL

Sagsøgte i hovedsagen:

Saturn Electro-Handelsgesellschaft mbH Hagen

De præjudicielle spørgsmål:

1. Er bestemmelsen om erstatningspligt i artikel 82 i den generelle forordning om databeskyttelse [(Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, herefter »den generelle forordning om databeskyttelse«)] ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade?

2. Er det en forudsætning for at opnå ret til erstatning, at der ikke blot er sket en uberettiget videregivelse af de oplysninger, der skal beskyttes, til en uvedkommende tredjemand, men skadelidte også har påvist, at der er indtrådt en immateriel skade?  

3. Er det tilstrækkeligt til at konstatere, at der er sket en tilsidesættelse af den generelle forordning om databeskyttelse, at den pågældendes personoplysninger (navn, adresse, erhverv, indkomst, arbejdsgiver) ved en fejl fra medarbejdere i den handlende virksomhed fejlagtigt videregives til tredjemand i trykt form, på papir, nærmere bestemt på et papirdokument?

4. Er der tale om en ulovlig viderebehandling gennem hændelig videregivelse til (fremlæggelse for) en tredjemand, når virksomheden gennem sine medarbejdere ved en fejl har videregivet de oplysninger, der ellers lagres i virksomhedens edb-system, til en uvedkommende person (jf. artikel 2, stk. 1, artikel 5, stk. 1, litra f), artikel 6, stk. 1 og artikel 24 i den generelle forordning om databeskyttelse)?

5. Er der tale om en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, selv hvis den tredjemand, der har modtaget dokumentet med personoplysningerne, ikke havde fået kendskab til disse, inden papiret med oplysningerne blev leveret tilbage, eller er ubehaget for den, hvis personoplysninger ulovligt blev videregivet, nok til, at der opstår en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, idet enhver uberettiget videregivelse af personoplysninger medfører, at det ikke er muligt at udelukke, at oplysningerne alligevel spredes til et ukendt antal personer eller endog kan misbruges?

6. Hvor alvorlig er overtrædelsen, når den hændelige videregivelse til tredjemand kan forhindres gennem bedre kontrol med de assisterende medarbejdere i virksomheden og/eller bedre organisering af datasikkerheden, f.eks. idet vareudlevering og dokumentation for de indgåede aftaler, først og fremmest finansieringsaftalen, varetages hver for sig, idet der udstedes et særskilt udleveringspapir, eller udleveringsinformationen videregives virksomhedsinternt til medarbejderne i vareudleveringen – uden at inddrage kunden, der har fået udleveret papirdokumenterne, herunder det papir, der berettiger til at få udleveret varen [jf. artikel 32, stk. 1, litra b), og stk. 2, samt artikel 4, nr. 7), i den generelle forordning om databeskyttelse][?]

7. Skal der ved erstatning for immateriel skade forstås tilkendelse af en straf på samme måde som ved en konventionalbod?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 13. juni 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøger i hovedsagen:

GP

Sagsøgte i hovedsagen:

Juris GmbH

De præjudicielle spørgsmål:

1. Skal begrebet immateriel skade i databeskyttelsesforordningens artikel 82, stk. 1, samt 85. betragtning og tredje punktum i 146. betragtning til denne forordning fortolkes således, at det omfatter ethvert indgreb i den beskyttede retsstilling, uafhængigt af indgrebets yderligere konsekvenser og disses betydning?

2. Fritages der for erstatningsansvaret i henhold til databeskyttelsesforordningens artikel 82, stk. 3, når lovovertrædelsen i det konkrete tilfælde skyldes en menneskelig fejl, der kan tilskrives en person, der udfører arbejde, som omhandlet i databeskyttelsesforordningens artikel 29?

3. Er det ved udmåling af erstatningen for den immaterielle skade tilladt eller nødvendigt at lægge kriterierne i databeskyttelsesforordningens artikel 83 til grund, navnlig databeskyttelsesforordningens artikel 83, stk. 2 og 5?

4. Skal erstatningen fastsættes for hver enkelt overtrædelse, eller sanktioneres flere overtrædelser – i hvert fald når de er ensartede – med en samlet erstatning, der ikke fastsættes ved at sammenlægge individuelle beløb, men beror på en helhedsvurdering?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 14. juni 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

TR

Sagsøgte i hovedsagen:

Land Hessen

De præjudicielle spørgsmål:

1. Skal artikel 57, stk. 1, litra a) og f), og artikel 58, stk. 2, litra a)-j), sammenholdt med artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT af 4.5.2016, L 119, s. 1, herefter »databeskyttelsesforordningen«) fortolkes således, at tilsynsmyndigheden altid er forpligtet til at gribe ind i henhold til databeskyttelsesforordningens artikel 58, stk. 2, hvis den konstaterer en databehandling, hvorved en registreret persons rettigheder er blevet krænket?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 20. juli 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er den 11. november 2022 truffet afgørelse om udsættelse af sagen, indtil domsafsigelse foreligger i sagerne C-807/21 (Deutsche Worhnen) og C-683/21 (Nacionalinis visuomenés sveikatos centras). 

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG

Sagsøgte i hovedsagen:

Müller Rechtsanwaltsgesellschaft mbH

De præjudicielle spørgsmål:

1.a. Følger det af fortolkningen af databeskyttelsesforordningens artikel 6, stk. 1, litra b) og f), at deltagelse i et investeringsselskab som investor, som ikke hæfter personligt og kun i begrænset omfang, og som ikke deltager i selskabets ledelse, er tilstrækkelig til at lægge til grund, at der foreligger en »legitim interesse« i at få oplysning om alle investorer, som investerer indirekte via en formueforvalter, disses kontaktoplysninger og disses deltagelse i investeringsselskabet og til at udlede en tilsvarende kontraktlig forpligtelse af selskabets vedtægter,

1.b. eller er den legitime interesse under sådanne betingelser begrænset til at få oplysning fra selskabet om de indirekte investorer, som ikke hæfter i ringe omfang, men som ejer en mindsteandel, som i det mindste lader en indflydelse på selskabets skæbne komme i betragtning?

2.a. Er det, for i forbindelse med en sådan ubegrænset ret (1a) ikke at overskride den iboende grænse i form af retsmisbrug eller for at dispensere fra begrænsningen i form af en begrænset ret til oplysning (1b), tilstrækkeligt, at der foreligger et ønske om at optage kontakt med henblik på at lære de pågældende at kende, udveksle synspunkter eller indlede forhandlinger om køb af selskabsandele,

2.b. eller kan en interesse i oplysning først komme i betragtning som relevant, hvis en videregivelse kræves med den udtrykkelige hensigt at optage kontakt med andre investorer for at anmode disse om koordinering på grund af konkret nævnte anledninger, som kræver stillingtagen i forbindelse med investorernes beslutninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Domstolen har ved afgørelse af 23. september 2022 udsat sagen indtil domsafsigelse i sag c-252/21.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UZ

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Sagsøgeren har klaget over et afslag fra Bundesamt für Migration und Flüchtlinge (forbundskontoret for migration og flygtninge) og har nedlagt påstand om tildeling af flytningestatus i henhold til § 3 i Asylgesetz (AsylG) (asylloven). Sagsøgtes afgørelse er baseret på de elektroniske sagsakter i den såkaldte Bundesamtakte MARIS (forbundskontorets sagsakter i det elektroniske dokumentstyringssystem Migrations- Asyl, Reintegrations-. Integrations-System, forkortet MARIS), som ligeledes som led i en fælles procedure i henhold til artikel 26 fremsendes til retten via Elektronisches Gericht- und Verwaltungspostfach (retternes og forvaltningens elektroniske postkassesystem (herefter »EGVP«). For så vidt angår spørgsmålene vedrørende den fuldstændige fremsendelse af sagsakterne henvises til de spørgsmål, der allerede er forelagt Domstolen (sag C-564/21).

Der hersker tvivl om, hvorvidt der hos sagsøgte overhovedet eller i fuldstændig form foreligger en fortegnelse over behandlingsaktiviteterne som omhandlet i artikel 30 i forordning 2016/679 (generel forordning om databeskyttelse, herefter: »databeskyttelsesforordningen«) for så vidt angår de såkaldte elektroniske MARIS-sagsakter. Der foreligger heller ingen ordning eller lovbestemmelse som omhandlet i databeskyttelsesforordningens artikel 26 for så vidt angår proceduren for elektronisk fremsendelse af sagsakter og fastsættelse af ansvaret i denne procedure. Den forelæggende ret har under retssagen udbedt sig disse dokumenter. Sagsøgte har dog nægtet at fremlægge dokumenterne, bl.a. med den begrundelse, at der for så vidt angår EGVP ikke foreligger nogen ordning i henhold til databeskyttelsesforordningens artikel 26.

De præjudicielle spørgsmål:

1. Medfører en dataansvarliges manglende eller undladte eller ufuldstændige udvisning af ansvarlighed i henhold til artikel 5 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, databeskyttelsesforordningen), f.eks. ved en manglende eller ufuldstændig fortegnelse over behandlingsaktiviteterne i henhold til databeskyttelsesforordningens artikel 30 eller en manglende ordning om en fælles procedure i henhold til databeskyttelsesforordningens artikel 26, at behandlingen af oplysninger er ulovlig som omhandlet i databeskyttelsesforordningens artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), således at den registrerede har ret til at få slettet eller begrænset oplysningerne?

2. Såfremt det første spørgsmål besvares bekræftende: Medfører eksistensen af en ret til sletning eller begrænsning, at de behandlede oplysninger ikke skal tages i betragtning under en retssag? Gælder dette i hvert fald i tilfælde, hvor den registrerede rejser indsigelse mod udnyttelse under en retssag?

3. Såfremt det første spørgsmål besvares benægtende: Medfører en dataansvarligs overtrædelse af databeskyttelsesforordningens artikel 5, 30 eller 26, at en national ret med hensyn til spørgsmålet om retslig udnyttelse af behandlingen af oplysninger kun må tage oplysningerne i betragtning, såfremt den registrerede udtrykkeligt giver samtykke til udnyttelsen?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 3. august 2022 sket forkyndelse af skriftlige indlæg.

EU-Domstolen har den 1. december 2022 besluttet at træffe afgørelse uden domsforhandling, og at sagen skal pådømmes uden generaladvokatens forslag til afgørelse.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

AB

Sagsøgte i hovedsagen:

Land Hessen

Procesdeltager:

SCHUFA Holding AG

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller

skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2. Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 ¹ opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007?

3. Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

4. Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

5. Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

6. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

RL

Sagsøgte i hovedsagen:

Landeshauptstadt Wiesbaden

Faktum i hovedsagen:

Sagsøgeren anmodede den 30. november 2021 om udstedelse af et nyt identitetskort uden fingeraftryk, da chippen i sagsøgerens gamle identitetskort var defekt. Genudstedelse blev afvist, eftersom optagelse af fingeraftryk var obligatorisk siden den 2. august 2021. Sagsøgeren havde endvidere ikke krav på udstedelse af et nyt identitetskort, da sagsøgeren allerede var i besiddelse af et gyldigt opholdsdokument. Et identitetskort var også gyldigt med en defekt chip.

De præjudicielle spørgsmål:

Er forpligtelsen til optagelse og lagring af fingeraftryk på identitetskort i henholdt til artikel 3, stk. 5, i Europaparlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed (EUT L 188 af 12.07.2019, s. 67), i strid med trinhøjere EU-ret, navnlig med

1. artikel 77, stk. 3, i Traktaten om Den Europæiske Unions Funktionsmåde,
2. artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder,
3. artikel 35, stk. 10, i generel forordning om databeskyttelse,

og er forpligtelsen derfor af en af de pågældende grunde ugyldig?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 8. september 2022.

Der er blevet indkaldt til mundtlig forhandling den 14. marts 2023.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

NG

Sagsøgte i hovedsagen:

Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia

De præjudicielle spørgsmål:

Er artikel 5, sammenholdt med artikel 13, stk. 2, litra b), og stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA til hinder for nationale lovgivningsmæssige foranstaltninger, som medfører en i praksis ubegrænset ret for de kompetente myndigheder til at behandle personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og/eller en afskaffelse af den registreredes ret til begrænsning af behandling, sletning eller tilintetgørelse af den pågældendes oplysninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 29. august 2022.

Der er blevet indkaldt til mundtlig forhandling den 7. februar 2023.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

JU

Sagsøgte i hovedsagen:

Scalable Capital GmbH

Faktum i hovedsagerne:

C-182/22: Sagsøgeren åbnede en konto i en tradingapp, som den sagsøgte havde ansvaret for, og indbetalte det nødvendige mindstebeløb på flere tusinde euro. Værdipapirdepotet blev forvaltet af en »robo advisor«, således at den gennemførte trading ikke viste en profil af sagsøgerens risikovillighed. Der var dog gemt nogle personoplysninger, som var nødvendige for at identificere sagsøgeren, navnlig navn, fødselsdato, adresse og e-mail-adresse, som kun blev benyttet til særligt beskyttede interesser. Der var også gemt en digitalt lagret kopi af identifikationsbeviset. Det er uomtvistet, at disse oplysninger og oplysningerne om selve depotet blev tilgået af ukendte gerningsmænd. Sagsøgeren blev afhørt personligt og udspurgt om sin oplevelse. Retten lægger i det mindste til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

C-189/22: Det drejer sig om den samme datahændelse, hvor sagsøgerens personlige oplysninger, navnlig navn, fødselsdato, adresse, e-mailadresse, kopi af identitetsbeviset og oplysninger om depotet også i dette tilfælde blev tilgået ulovligt. Sagsøgeren er endnu ikke blevet afhørt, og der foreligger derfor ikke konstateringer om dennes personlige oplevelse. Retten lægger også i denne sag til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

De præjudicielle spørgsmål:

1. Skal artikel 82 i databeskyttelsesforordningen fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af sanktion, navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og evt. godtgørelse?

2.a. Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere for den forvoldte skade?

2.b.1. Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregelundtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?

2.b.2. Såfremt retten til erstatning for immateriel skade ikke kan tillægges godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?

3. Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?

4. Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed evt. af den krænkede eller generelt kun opleves som symbolsk?

5. Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 30. september 2022.

Domstolens præsident har besluttet at forene sagerne C-182/22 og C-189/22 med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen.

Link til C-182/22 på EU-Domstolens hjemmeside

Link til C-189/22 på EU-Domstolens hjemmeside

Appellant i hovedsagen:

E.N.

Procesdeltagere i hovedsagen:

Nationale Anti-Doping Agentur Austria GmbH (NADA), Österreichischer Leichtathletikverband (ÖLV) og Word Anti-Doping Agency (WADA).

De præjudicielle spørgsmål:

1. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en »helbredsoplysning« som omhandlet i artikel 9 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (herefter »den generelle forordning om databeskyttelse«)?

2. Er den generelle forordning om databeskyttelse – navnlig henset til artikel 6, stk. 3, andet afsnit, heri til hinder for en national lovgivning, ifølge hvilken navnene på de personer, der er berørt af USK’s afgørelse, varigheden af udelukkelsen og grundene hertil offentliggøres, uden at det er muligt at udlede helbredsoplysninger om den registrerede? Spiller det i den forbindelse en rolle, at der i henhold til den nationale ordning kun kan ses bort fra offentliggørelse af disse oplysninger over for offentligheden, såfremt den registrerede er en motionsidrætsudøver, en mindreårig person eller en person, der ved meddelelse af oplysninger eller andre informationer i væsentligt omfang har bidraget til at afsløre potentielle overtrædelser af antidopingregler?

3. Kræver den generelle forordning om databeskyttelse – navnlig henset til principperne i artikel 5, stk. 1, litra a) og litra c), heri – før offentliggørelsen under alle omstændigheder, at der foretages en interesseafvejning for så vidt angår på den ene side den registreredes personlige interesser, der berøres af en offentliggørelse, og på den anden side offentlighedens interesse i at få oplysninger om en idrætsudøvers overtrædelse af antidopingregler?

4. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en behandling af personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?

5. Såfremt det fjerde spørgsmål besvares bekræftende: Er USK, der er oprettet i henhold til § 8 i ADBG 2021, en offentlig myndighed som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status: 

Der er sket forkyndelse af skriftlige indlæg den 23. september 2022.

Der er blevet indkaldt til mundtlig forhandling den 2. maj 2023.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

CK

Sagsøgte i hovedsagen:

Magistrat der Stadt Wien 

De præjudicielle spørgsmål:

1. Hvilke materielle krav skal en fremlagt oplysning opfylde for at anses for tilstrækkelig »meningsfuld« som omhandlet i artikel 15, stk. 1, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?

Skal den dataansvarlige – om nødvendigt med den indskrænkning, at eksisterende forretningshemmeligheder beskyttes – når der er tale om en profilering, i forbindelse med oplysning om »logikken heri« principielt også videregive de oplysninger, der er væsentlige for at kunne forstå resultatet af den automatiske individuelle afgørelse, herunder navnlig 1) de personoplysninger om den registrerede, der har været genstand for behandlingen, 2) de dele af algoritmen bag profileringen, der er nødvendige for at kunne forstå afgørelsen og 3) de oplysninger, der er relevante for at kunne forstå sammenhængen mellem de behandlede data og evalueringen af dem?

Skal den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, og selv i tilfælde af, at der fremsættes indsigelse om en forretningshemmelighed, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af vedkommendes personoplysninger, således at denne sættes i stand til at beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse:

1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
5. information om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

2. Er indsigtsretten som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse knyttet til retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, for så vidt som omfanget af de oplysninger, der skal meddeles efter anmodning om indsigt i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, kun er tilstrækkelig »meningsfuldt«, hvis den, der anmoder om indsigt, og er registreret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse sættes i stand til faktisk at gøre brug af retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, på grundig og formålstjenlig vis?

3a. Skal artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse fortolkes således, at der kun er tale om »meningsfulde oplysninger«, såfremt oplysningerne er så vidtgående, at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, har mulighed for at fastslå, om de meddelte oplysninger er i overensstemmelse med fakta, altså om de faktisk også har ligget til grund for den automatiske individuelle afgørelse?

3b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilken fremgangsmåde skal anvendes, hvis det kun er muligt at efterprøve, om en oplysning fra en dataansvarlig er korrekt, ved at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, modtager personoplysninger om tredjemænd, der ligeledes er beskyttet i henhold til den generelle forordning om databeskyttelse (black-box)?

Kan dette spændingsfelt mellem indsigtsretten i henhold til artikel 15, stk. 1, i den generelle forordning om databeskyttelse og tredjemands databeskyttelsesret fjernes ved, at de personoplysninger om tredjemænd, der ligeledes var genstand for samme profilering, og som er nødvendige for at kunne foretage korrekthedskontrollen, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om de meddelte personoplysninger om de pågældende tredjemænd er i overensstemmelse med fakta?

3c. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 3b)?

Skal de oplysninger om andre, der i så fald skal meddeles den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, for at gøre det muligt at kontrollere, at den dataansvarliges afgørelse er korrekt, som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse, videregives i pseudoanonymiseret form?

4a. Hvilken fremgangsmåde skal anvendes, såfremt de oplysninger, der skal videregives i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, ligeledes opfylder betingelserne for en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse, L157/1? Kan spændingsfeltet mellem den indsigtsret, der garanteres i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, og retten til hemmeligholdelse af en forretningshemmelighed, der beskyttes i direktiv (EU) 2016/943, fjernes ved at de oplysninger, der skal kvalificeres som forretningshemmelighed i henhold til direktiv (EU) 2016/943, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om der foreligger en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943, og om oplysningerne fra den dataansvarlige som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse er i overensstemmelse med fakta?

4b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal der under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 4a)?

Skal den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, (også) i et sådant tilfælde, hvor der ikke skal videregives de samme oplysninger til henholdsvis myndigheden/domstolen og den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af sine personoplysninger, således at vedkommende kan beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse fuldt ud:

1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
5. oplysninger om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

5. Begrænses omfanget af de oplysninger, der skal meddeles i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, på en eller anden måde af artikel 15, stk. 4, i den generelle forordning om databeskyttelse?

Hvorledes begrænses indsigtsretten i bekræftende fald af artikel 15, stk. 4, i den generelle forordning om databeskyttelse, og hvordan skal omfanget af en sådan begrænsning fastslås konkret?

6. Er bestemmelsen i § 4, stk. 6, i Datenschutzgesetz (den østrigske databeskyttelseslov), hvorefter »den indsigtsret, som den registrerede i henhold til artikel 15 i den generelle forordning om databeskyttelse med forbehold af andre lovbegrænsninger har over for en dataansvarlig, som regel ikke (består), hvis videregivelse af de pågældende oplysninger ville udgøre en trussel mod en forretningshemmelighed hos den dataansvarlige eller andre« forenelig med betingelserne i artikel 15, stk. 1, sammenholdt med artikel 22, stk. 3, i den generelle forordning om databeskyttelse? Hvornår er betingelserne i givet fald opfyldt?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 11. oktober 2022.

Domstolens præsident har ved afgørelse af 8. december 2022 udsat sagen indtil domsafsigelse i sag C-634/21.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger og revisionsindstævnt i hovedsagen:

DW 

Sagsøgte og revisionsappellant i hovedsagen:

FT 

Faktum i hovedsagen:

DW har nedlagt påstand om, at FT gratis skal udlevere en kopi af samtlige patientdokumenter om ham, der forefindes hos FT. FT, der er etableret i Tyskland, er tandlæge. DW var i behandling hos hende. Efter DW’s opfattelse har FT fejlbehandlet ham. FT har gjort gældende, at hun kun er forpligtet til at udlevere en kopi af patientjournalen mod godtgørelse af de afholdte omkostninger.

Amtsgericht (byretten) gav sagsøgeren medhold i sagen. Landgericht (den regionale appeldomstol) gav ikke FT medhold i hendes appel. Efter Landgerichts opfattelse er den ret, der tilkommer DW i henhold til artikel 15 i den generelle forordning om databeskyttelse, ikke udelukket som følge af, at DW har anmodet om oplysningerne med henblik på at undersøge, om han kan gøre et lægeansvar gældende. I sin revisionsanke for den forelæggende ret har FT fastholdt sin påstand om frifindelse. Udfaldet af revisionsankesagen afhænger af, om appeldomstolen begik en retlig fejl, da den lagde til grund, at søgsmålet – sådan som DW har gjort gældende – er begrundet i henhold til bestemmelserne i den generelle forordning om databeskyttelse. Det afgørende er, hvorledes bestemmelserne i den generelle forordning om databeskyttelse, navnlig forordningens artikel 15, stk. 3, skal fortolkes. 

De præjudicielle spørgsmål:

1. Skal artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i den generelle forordning om databeskyttelse fortolkes således, at den dataansvarlige (her: den behandlende læge) ikke har pligt til gratis at udlevere en kopi af de personoplysninger om den registrerede (her: patienten), som den dataansvarlige har behandlet, såfremt den registrerede ikke anmoder om udlevering af kopien med henblik på som omhandlet i 63. betragtning til den generelle forordning om databeskyttelse at forvisse sig om og kontrollere, at behandlingen af hans personoplysninger er lovlig, men derimod forfølger et andet formål – der ikke vedrører databeskyttelse men ligeledes er legitimt (her: undersøgelse af, om der kan gøres et lægeansvar gældende)?

2. Såfremt det første spørgsmål skal besvares benægtende:

1. Kan den ret til gratis udlevering af en kopi af de personoplysninger, som den dataansvarlige har behandlet, der følger af artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i den generelle forordning om databeskyttelse, eventuelt begrænses i henhold til artikel 23, stk. 1, litra i), i den generelle forordning om databeskyttelse gennem en national bestemmelse i en medlemsstat, der blev vedtaget, inden den generelle forordning om databeskyttelse trådte i kraft?
2. Såfremt det andet spørgsmål, litra a) besvares bekræftende: Skal artikel 23, stk. 1, litra i), i den generelle forordning om databeskyttelse fortolkes således, at de deri nævnte rettigheder og frihedsrettigheder for andre også omfatter disses interesse i at fritages fra at afholde udgifter i forbindelse med udlevering af en kopi af oplysningerne i henhold til artikel 15, stk. 3, første punktum, i den generelle forordning om databeskyttelse og bære andre byrder, der opstår i forbindelse med udlevering af kopien?
3. Såfremt det andet spørgsmål, litra b), besvares bekræftende: Kan de rettigheder og forpligtelser, der følger af artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i den generelle forordning om databeskyttelse, eventuelt begrænses i henhold til artikel 23, stk. 1, litra i), i den generelle forordning om databeskyttelse gennem en national bestemmelse om forholdet mellem læge og patient, hvorefter lægen altid har ret til at få sine udgifter i forbindelse med udlevering af en kopi af personoplysningerne i patientjournalen til patienten godtgjort af denne, uanset de konkrete omstændigheder?

3. Såfremt det første spørgsmål besvares benægtende, og det andet spørgsmål, litra a), b) eller c), besvares benægtende: Omfatter den ret, der følger af artikel 15, stk. 3, første punktum, i den generelle forordning om databeskyttelse, i forholdet mellem læge og patient et krav på udlevering af en kopi af alle de dele af patientjournalen, der indeholder personoplysninger om patienten, eller kun et krav på udlevering af en kopi af selve personoplysningerne om patienten, og kan lægen, der behandler disse oplysninger, i denne forbindelse frit vælge, hvorledes han sammensætter oplysningerne til den berørte patient? 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Domstolen har den 7. marts 2023 besluttet at træffe afgørelse uden domsforhandling.

Link til sagen på EU-domstolens hjemmeside

Appellanter i hovedsagen:

Ligue des droits humains ASBL og BA 

Indstævnt i hovedsagen:

Organe de contrôle de l’information policière 

De præjudicielle spørgsmål:

1. Kræver artikel 47 og artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder, at der indføres retsmidler over for en uafhængig tilsynsmyndighed som f.eks. Organe de contrôle de l’information policière, når denne udøver den registreredes rettigheder over for den registeransvarlige?

2. Er artikel 17 i direktiv 2016/680 i overensstemmelse med artikel 47 og artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder, således som Domstolen har fortolket disse bestemmelser, for så vidt som den nævnte artikel 17 ikke pålægger tilsynsmyndigheden – der udøver den registreredes rettigheder over for den registeransvarlige – at informere denne person om, at »den har foretaget den nødvendige kontrol eller undersøgelse«, og »om adgangen til retsmidler«, når denne information ikke muliggør nogen efterfølgende kontrol af tilsynsmyndighedens indsats og vurdering af den registreredes personoplysninger og de forpligtelser, der påhviler den registeransvarlige?« 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Den 22. november 2022 er der sket forkyndelse af skriftlige indlæg.

Den 14. marts 2023 er der sket forkyndelse af svar på spørgsmål, som Domstolen har stillet.

Der er blevet indkaldt til mundtlig forhandling den 29. marts 2023.

Link til sagen på EU-domstolens hjemmeside

Sagsøger i hovedsagen:

VZW KINDERRECHTENCOALITIE VLAANDEREN og VZW LIGA VOOR MENSENRECHTEN 

Sagsøgte i hovedsagen:

Belgische Staat 

Faktum i hovedsagen:

Sagen, der er anlagt den 18. 2020, vedrører annullation af den anfægtede kongelige bekendtgørelse.

Forordning 2019/1157 bestemmer, at identitetskort skal indeholde et meget sikket lagringsmedium, der skal indeholde et ansigtsbillede af kortindehaveren og to fingeraftryk i digitale formater. For så vidt angår registreringen af de biometriske identifikatorer anvender medlemsstaterne de tekniske specifikationer, der er fastsat ved Kommissionens gennemførelsesafgørelse C(2018) 7767 (artikel 3, stk. 5). Lagringsmediet skal have tilstrækkelig kapacitet og være i stand til at sikre oplysningernes integritet, ægthed og fortrolige karakter. Medlemsstaterne udveksler de oplysninger, som er nødvendige for at autentificere lagringsmediet og for at tilgå og verificere de biometriske oplysninger (artikel 3, stk. 6). Kommissionen fastlægger yderligere tekniske specifikationer for at sikre, at identitetskort og opholdsdokumenter opfylder fremtidige minimumssikkerhedsstandarder (artikel 14). Forordning nr. 2019/1157 har fundet anvendelse fra 2. august 2021 (artikel 16).

Loven af 25. november 2018 ændrede loven af 19. juli 1991. Herved ændrede artikel 27 i loven af 25. november 2018 artikel 6 i loven af 19. juli 1991. Således blev det i artikel 6, § 2, stk. 3 bestemt, at identitetskort og kort til udlændinge også skal indeholde følgende elektronisk læsbare data vedrørende personen: et digitalt billede af fingeraftrykket af pegefingeren på kortindehaverens venstre og højre hånd, og i tilfælde af invaliditet eller anden umulighed af en anden finger på hver hånd. Kongen fastsætter de nærmere betingelser og andre regler for det digitale billede af fingeraftrykkene. Artikel 27 i lov af 25. november 2018 har været genstand for fem annullationssøgsmål ved Grondwettelijk Hof (forfatningsdomstol), herunder et søgsmål anlagt af den anden sagsøger. I alle sager blev der statueret frifindelse ved dom nr. 2/2021 af 14. januar 2021.

Den anfægtede kongelige bekendtgørelse gennemfører forordning 2019/1157 og loven af 25. november 2018. Artikel 4 i den anfægtede kongelige bekendtgørelse ændrer artikel 3 i den kongelige bekendtgørelse 25. marts 2003. I artikel 3, § 1, anføres, at identitetskortet indeholder to elektroniske chips og en todimensional stregkode. En ny artikel 3, § 5, bestemmer blandt andet, at fingeraftrykkene på initiativ af kommunaldirektøren digitaliseres, og at det digitale billede af disse aftryk via rigsregistret på sikker måde sendes til producenten af identitetskortene for at blive elektronisk integreret heri. Artikel 5 i den anfægtede kongelige bekendtgørelse bestemmer, at der i den kongelige bekendtgørelse af 25. marts 2003 indsættes en sålydende artikel 3/1: »Artikel 3/1. Når indehaveren af et identitetskort eller et kort for udlændinge henvender sig til sin kommunaldirektør, første gang for at får udfærdiget basisdokumentet i henhold til artikel 3, § 3,og senere for at afhente kortet, skal den kommunale tjenestemand, før kortet udleveres til den person, der holder sig ved skranken, efterprøve, bl.a. ved visuelt at sammenligne personens ansigt med fotoet og ved at sammenlign personens fingeraftryk med aftrykkene på kortet, for så vidt de er registreret på kortet. Er der tvivl om kortindehavers identitet, udleveres kortet ikke, før der er sikkerhed for kortindehaverens identitet.« 

De præjudicielle spørgsmål:

Er artikel 3, stk. 5 og 6, samt artikel 14 i Europa-Parlaments og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed, sammenholdt med Kommissionens gennemførelsesafgørelse C(2018 7767 af 30. november 2018 om fastsættelse af tekniske specifikationer for den ensartede udformning af opholdstilladelser til tredjelandsstatsborgere og om ophævelse af afgørelse C(2002) 3069 gyldig og forenelig med artikel 16 TEUF og – for så vidt angår artikel 3, stk. 5 og 6, – med artikel 21 TEUF samt med artikel 7, 8 og 52 i Den Europæiske Unions charter om grundlæggende rettigheder, sammenholdt med:

- artikel 1, 2, 3, 4, 5, 6, 9, 25, 32, 35 og 36 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

- artikel 1, 2, 3, 4, 8, 9, 10, 27 og 28 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

- artikel 1, 2, 3, 4, 5, 10, 28 og 42 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF for så vidt som artikel 3, stk. 5, og artikel 3, stk. 6. i forordning (EU) 2019/1157 af 20. juni 2019 kræver, at der skal være to fingeraftryk af kortindehaveren, der skal opbevares i digitalt format i det lagringsmedium, som kortet indeholder, og for så vidt som artikel 3, stk. 5, og artikel 3, stk. 6, og artikel 14 i forordning (EU) 2019/1157 i forbindelse med bilag III til Kommissionens førnævnte gennemførelsesafgørelse C(2018) af 30. november 2018 kræver, at fingeraftrykkene skal opbevares på de i artikel 2, litra a) og c) omhandlede identitetskort og opholdsdokumenter i form af et ansigtsbillede af kortindehaveren og to fingeraftryk på en elektronisk mikroprocessorchip, der anvender RFID, og som kan udlæses trådløst/kontaktløst. 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Domstolen har ved afgørelse af 14. september 2022 udsat sagen indtil domsafsigelse i sag c-61/22.

Link til sagen på EU-domstolens hjemmeside

Appellanter i hovedsagen:

VX og AT

Indstævnt i hovedsagen:

Gemeinde Ummendorf

De præjudicielle spørgsmål:

Skal begrebet immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning (EU) 2016/679 om databeskyttelse fortolkes således, at der skal foreligge en mærkbar ulempe og en objektivt konstaterbar påvirkning af personlige interesser, for at det kan lægges til grund, at der er tale om en immateriel skade, eller er det tilstrækkeligt, at den registrerede blot har været udsat for et kortvarigt tab af kontrollen over sine oplysninger som følge af offentliggørelsen af personoplysninger på internettet i en periode på få dage, idet dette ikke har haft nogen mærkbare eller skadelige konsekvenser for den registrerede?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 13. januar 2023.

Link til sagen på EU-Domstolens hjemmeside

Appellanter i hovedsagen:

MK

Indstævnt i hovedsagen:

WB

De præjudicielle spørgsmål:

De præjudicielle spørgsmål:

• Er en ifølge loven beskikket værge, som udøver dette hverv erhvervsmæssigt, dataansvarlig som omhandlet i artikel 4, nr. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/670 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?
• Skal den pågældende give information i henhold til databeskyttelsesforordningens artikel 15?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Den 17. november 2022 er der sket forkyndelse af skriftlige indlæg.

Domstolen har ved afgørelse af 12. januar 2023 udsat sagen indtil domsafsigelse i sag C-33/22.

Link til sagen på EU-Domstolens hjemmeside

Appellant i hovedsagen:

État belge (den belgiske stat)

Indstævnt i hovedsagen:

AUTORITÉ DE PROTECTION DES DONNÉES (APD) (Databeskyttelsesmyndighed)

De præjudicielle spørgsmål:

1. Skal artikel 4, nr. 7), i den generelle forordning om beskyttelse af personoplysninger fortolkes således, at en medlemsstats statstidende – der har til opgave at offentliggøre og arkivere officielle dokumenter, og som i henhold til den gældende nationale lovgivning er ansvarlig for at offentliggøre officielle retsakter og dokumenter, hvis offentliggørelse er pålagt af andre offentlige instanser, i den form, hvori de er forelagt af disse instanser, efter at disse selv har behandlet de personoplysninger, der er indeholdt i disse retsakter og dokumenter, uden at den nationale lovgiver har givet statstidendet nogen skønsbeføjelse med hensyn til indholdet af de dokumenter, der skal offentliggøres, og med hensyn til formålet med og midlerne til offentliggørelsen – har status som dataansvarlig?

2. Såfremt det første spørgsmål besvares bekræftende, skal artikel 5, stk. 2, i den generelle forordning om beskyttelse af personoplysninger da fortolkes således, at det er det pågældende statstidende, der alene skal være ansvarlig for at opfylde de forpligtelser, der påhviler den dataansvarlige i henhold til denne bestemmelse, med udelukkelse af andre offentlige instanser, der tidligere har behandlet de oplysninger, der er indeholdt i de officielle retsakter og dokumenter, hvis offentliggørelse de anmoder om, eller hviler disse forpligtelser kumulativt på hver af de på hinanden følgende dataansvarlige?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 18. oktober 2022.

Der er blevet indkaldt til mundtlig forhandling den 23. marts 2023.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

AT

BT

Sagsøgte i hovedsagen:

PS GbR

VG

MB

DH

WB

GS

De præjudicielle spørgsmål:

1. Er det tilstrækkeligt for at begrunde en ret til skadeserstatning som omhandlet i artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (herefter »den generelle forordning om databeskyttelse«), at en bestemmelse i den generelle forordning om databeskyttelse, som beskytter den person, der gør retten gældende, er blevet overtrådt, eller er det påkrævet, at der ud over overtrædelsen af bestemmelserne som sådan er sket en yderligere påvirkning af den person, der gør retten gældende?

2. Er det i henhold til EU-retten påkrævet for at begrunde en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse, at der foreligger en påvirkning af en vis vægt?

3. Er det navnlig tilstrækkeligt for at begrunde en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse, at den person, der gør retten gældende, frygter, at vedkommendes personoplysninger som følge af overtrædelserne af bestemmelserne i den generelle forordning om databeskyttelse er blevet videregivet til uvedkommende, uden at dette kan fastslås positivt?

4. Er det i overensstemmelse med EU-retten, hvis den nationale ret ved udmålingen af en erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse anvender kriterierne i artikel 83, stk. 2, andet punktum, i den generelle forordning om databeskyttelse, som henset til ordlyden alene gælder for administrative bøder, analogt?

5. Skal størrelsen af en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse også udmåles under hensyntagen til, om der ved størrelsen af den tilkendte ret opnås en afskrækkende virkning og/eller forhindres en »kommercialisering« (kalkuleret accept af administrative bøder/erstatningsbetalinger) af overtrædelser?

6. Er det i forbindelse med udmålingen af størrelsen af en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse i overensstemmelse med EU-retten også at tage hensyn til overtrædelser af nationale retsforskrifter, som har til formål at beskytte personoplysninger, idet der dog ikke er tale om delegerede retsakter eller gennemførelsesretsakter vedtaget i henhold til denne forordning eller til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 16. marts 2023.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen: 

Koninklijke Nederlandse Lawn Tennisbond

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

Tvisten mellem parterne omhandler en bøde på 525.000 EUR pålagt sagsøgeren, der havde delt personoplysninger om sine medlemmer til to sponsorer uden medlemmernes samtykke og uden lovlig hjemmel hertil. 

Sagsøger er en sammenslutning af sportsklubber, hvoraf medlemmerne af sportsklubberne udgøres af tilsluttede tennisklubber og deres medlemmer. Sagsøger samarbejder med sponsorer, herunder Nederlandse Loterij Organisatie BV og SportshopsDirect BV. I 2018 gav sagsøger mod betaling oplysninger om en del af sammenslutningens medlemmer til disse sponsorer, som brugte oplysningerne til reklamer via postforsendelse og telemarketing. 

Ved en afgørelse af 20. december 2019 pålagde sagsøgte sagsøger en bøde på 525.000 EUR, hvilket sagsøger indgav klage over. Ved afgørelse af 30. juli 2020 afslog sagsøgte klagen, hvorefter sagsøger indbragte søgsmålet. 

De præjudicielle spørgsmål:

Vedrører spørgsmålet, om begrebet >> Legitim interesse << i art. 6, stk. 1, litra f udelukkende omfatter ved lov fastsatte interesser (positiv kontrol) eller enhver interesse, for så vidt den ikke er i strid med loven (negativ kontrol), eller mere specifikt spørgsmålet, om en rent kommerciel interesse - såsom interessen i at levere personoplysninger mod betaling uden samtykke fra den berørte person - efter omstændighederne kan anses for at være legitime, og i bekræftende fald, hvilke omstændigheder er herved afgørende.

1. Hvorledes skal den forelæggende ret fortolke begrebet >> legitim interesse <<? 

2. Skal udtrykket fortolkes således, som sagsøgte fortolker det? Er det udelukkende interesser, som vedrører lov, udgør lov, er fastsat i lov? Eller; 

3. Kan enhver interesse være en legitim interesse, forudsat at interessen ikke er i strid med loven? Udtrykt mere specifikt: Må en rent kommerciel interesse og den interesse, som er omhandlet her, nemlig levering af personoplysninger mod betaling uden samtykke fra den pågældende person, efter omstændighederne betragtes som en legitim interesse? I bekræftende fald, hvilke omstændigheder er afgørende for, om en rent kommerciel interesse er en legitim interesse?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Appellant i hovedsagen:

RK

Den anden part i sagen:

Ministerstvo zdravotnictví

Det præjudicielle spørgsmål:

Er der i forbindelse med verificering af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, udstedt i overensstemmelse med [forordningen om digitale certifikater], som Den Tjekkiske Republik anvender til nationale formål, tale om automatisk behandling af personoplysninger som omhandlet i [databeskyttelsesforordningens] artikel 4, nr. 2, i forbindelse med anvendelsen af den nationale »čTečka«-applikation, således at denne aktivitet falder inden for [databeskyttelsesforordningens] materielle anvendelsesområde i henhold til denne forordnings artikel 2, stk. 2?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status: 

Den 24. november 2022 er der sket forkyndelse af den præjudicielle forelæggelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen: 

I. sp. z o.o.

Sagsøgte i hovedsagen:

M.W.

De præjudicielle spørgsmål:

• Skal artikel 5, stk. 1, litra a), sammenholdt med artikel 6, stk. 1, litra a), c), e) sammenholdt med artikel 6, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L af 2016, nr. 119, s. 1, som ændret) fortolkes således, at bestemmelserne er til hinder for en national retsregel, der tillader salg af en database som defineret i artikel 1, stk. 2, i Europa-Parlamentets og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (EFT af 1997, nr. 77, s. 20, som ændret), der indeholder personoplysninger, som led i en tvangsfuldbyrdelsessag, når de registrerede ikke har givet deres samtykke til et sådant salg?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

I. sp. z o.o.

Sagsøgte i hovedsagen:

BZ

De præjudicielle spørgsmål:

• Skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, fortolkes således, at den dataansvarlige (i den foreliggende sag: forsikringsselskabet) også er forpligtet til at udlevere en gratis første kopi af de personoplysninger vedrørende den registrerede (i den foreliggende sag: forsikringstageren), som den dataansvarlige har behandlet, når den registrerede ikke anmoder om udlevering af kopien med henblik på et af de formål, der er omhandlet i 63. betragtning, første punktum, til databeskyttelsesforordningen, og som består i at forvisse sig om og kontrollere lovligheden af behandlingens af personoplysninger vedrørende den registrerede, men derimod forfølger et andet formål – der ikke vedrører databeskyttelse, men ligeledes er legitimt – (i den foreliggende sag: undersøgelsen af gyldigheden af forhøjelsen af præmien for en privat sygeforsikring), og endda også, når der anmodes om oplysninger, som forsikringstageren allerede har modtaget med brev som led i præmieforhøjelsesproceduren i henhold til § 203 i VVG (forsikringsaftaleloven)?
• Såfremt det første spørgsmål besvares bekræftende: Omfatter begrebet personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og artikel 15, stk. 3, første punktum, de følgende oplysninger:
• a) oplysninger om præmietilpasninger, som forsikringsselskabet har foretaget i en privat sygeforsikring i relation til forsikringstageren, navnlig om tilpasningsbeløbet og om de relevante forsikringssatser, og
• b) oplysninger om begrundelsen for præmietilpasningerne (jf. forsikringsaftalelovens § 203, stk. 5).
• Såfremt det første spørgsmål besvares bekræftende, og det andet spørgsmål besvares helt eller delvist bekræftende: Omfatter det krav, som en forsikringstager i en privat sygeforsikring har på at få udleveret en kopi af de personoplysninger vedrørende forsikringstageren selv, som forsikringsselskabet har behandlet, også et krav på at få udleveret en kopi af de supplementer til forsikringspolicen, som forsikringsselskabet har fremsendt til forsikringstageren med henblik på at give denne meddelelse om præmieforhøjelsen, samt det følgebrev og de tillæg, der samtidig er fremsendt, eller omfatter det pågældende krav alene udlevering af en kopi af personoplysninger vedrørende forsikringstageren selv som sådan, hvorved det overlades til det forsikringsselskab, som har behandlet oplysningerne, at beslutte, på hvilken måde det ønsker at sammensætte oplysningerne til den registrerede forsikringstager?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Meta Platforms Ireland Limited

Sagsøger i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

De præjudicielle spørgsmål:

1. Gøres en krænkelse af rettigheder »som følge af behandling« som omhandlet i artikel 80, stk. 2, i forordning (EU) 2016/679 (general forordning om databeskyttelse) gældende, såfremt en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, støtter sit søgsmål på, at en registrerets rettigheder er blevet krænket, fordi pligterne i henhold til artikel 12, stk. 1, første punktum, sammenholdt med artikel 13, stk. 1, litra c) og e), i den generelle forordning om databeskyttelse til at oplyse om formålet med databehandlingen og om modtageren af personoplysningerne ikke er blevet opfyldt?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

ND

Sagsøger i hovedsagen:

DR

Faktum i hovedsagen:

Sagsøgeren driver et apotek. Sagsøgte er ligeledes apoteker og driver et apotek. Sagsøgte har tilladelse til at drive postordrevirksomhed og distribuerer også sit sortiment på internettet. Derudover forhandlede sagsøgte i 2017 sit sortiment, der omfatter lægemidler, hvis salg er forbeholdt apoteker, via internetsalgsplatformen »Amazon-Marketplace« (herefter »Amazon«).

Sagsøgeren har gjort gældende, at distributionen af lægemidler, hvis salg er forbeholdt apoteker, på Amazon er en urimelig praksis som følge af overtrædelse af lovkrav om indhentelse af et databeskyttelsesretligt samtykke fra kunden til at indsamle, behandle og anvende dennes helbredsoplysninger. Sagsøgeren har anlagt sag med påstand om, at der nedlægges forbud mod en sådan distribution.

Landgericht (den regionale ret i første instans) har givet sagsøgeren medhold. Appelinstansen har afvist sagsøgtes appel. Sagsøgte har med sin revisionsanke opretholdt sin påstand om frifindelse. Sagsøgeren har nedlagt påstand om, at revisionsanken afvises.

De præjudicielle spørgsmål:

1. Er bestemmelserne i kapitel VIII i den generelle forordning om databeskyttelse til hinder for national lovgivning, der – ud over de kompetente tilsynsmyndigheders beføjelser til at gribe ind med henblik på at kontrollere og håndhæve forordningen og de registreredes adgang til retsmidler – giver konkurrenter beføjelse til at anlægge sag mod den krænkende part for overtrædelse af den generelle forordning om databeskyttelse ved de civile domstole henset til forbuddet mod urimelig handelspraksis?

2. Udgør de oplysninger, som kunderne hos en apoteker, der på en internetsalgsplatform optræder som sælger, indtaster på salgsplatformen i forbindelse med bestillingen af lægemidler, hvis salg ganske vist er forbeholdt apoteker, men som ikke er receptpligtige (kundens navn, leveringsadresse og informationer, der er nødvendige med henblik på individualisering af det bestilte lægemiddel, hvis salg er forbeholdt apoteker) helbredsoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, samt oplysninger om helbredsforhold som omhandlet i databeskyttelsesdirektivets artikel 8, stk. 1?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationale myndighed for databeskyttelse og informationsfrihed, Ungarn)

Sagsøger i hovedsagen:

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (kommunalbestyrelsen i Újpest kommune, fjerde distrikt i Budapest)

De præjudicielle spørgsmål:

1. Skal artikel 58, stk. 2, navnlig litra c), d) og g), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) fortolkes således, at en national tilsynsmyndighed under udøvelse af sine korrigerende beføjelser kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en udtrykkelig anmodning fra den registrerede i henhold til databeskyttelsesforordningens artikel 17, stk. 1?

2. Såfremt det første præjudicielle spørgsmål besvares således, at tilsynsmyndigheden kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en anmodning fra den registrerede, afhænger dette svar da af, om de pågældende personoplysninger er indsamlet hos den registrerede?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Policejní prezidium

Sagsøger i hovedsagen:

JH

De præjudicielle spørgsmål:

1.Hvorledes skal der sondres mellem forskellige registreredes oplysninger, der kræves i henhold til artikel 4, stk. 1, litra c), eller artikel 6, sammenholdt med artikel 10 i direktiv 2016/680? Er det i overensstemmelse med kravet om begrænsning af behandlingen af personoplysninger, samt med forpligtelsen til at skelne mellem forskellige kategorier af registrerede, at national lovgivning tillader udtræk af genetiske data fra alle personer, der er mistænkt eller tiltalt for at have begået en forsætlig strafbar handling?

2. Er det foreneligt med artikel 4, stk. 1, litra e), i direktiv 2016/680, at behovet for fortsat at opbevare en DNA-profil med henvisning til det generelle formål om at forebygge eller afsløre kriminalitet vurderes af politimyndighederne på grundlag af deres interne regler, hvilket i praksis ofte betyder opbevaring af følsomme personoplysninger på ubestemt tid, uden at der angives nogen maksimal opbevaringsperiode for sådanne personoplysninger? Hvis dette ikke er i overensstemmelse med denne bestemmelse, hvilke kriterier skal da anvendes til at vurdere proportionaliteten med hensyn til varigheden af opbevaringen af personoplysninger, der er indsamlet og opbevaret til et sådant formål?

3. Hvad er minimumsrækkevidden af de materielle eller proceduremæssige betingelser for indsamling, opbevaring og sletning af særligt følsomme personoplysninger i henhold til artikel 10 i direktiv 2016/680, som skal være hjemlet i »bestemmelser« i en medlemsstats nationale ret? Kan retspraksis også betragtes som »medlemsstats nationale ret« som omhandlet i artikel 8, stk. 1, sammenholdt med artikel 10 i direktiv 2016/680?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

K GmbH

Sagsøger i hovedsagen:

MK

De præjudicielle spørgsmål:

1. Skal en national bestemmelse vedtaget i henhold til artikel 88, stk. 1, i forordning (EU) 2016/679 (herefter »databeskyttelsesforordningen«) – såsom § 26, stk. 4, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) – hvorefter behandling af personoplysninger – herunder særlige kategorier af personoplysninger – om arbejdstagere til brug for ansættelsesforholdet i medfør af kollektive overenskomster under hensyntagen til artikel 88, stk. 2, i forordning 2016/679 er lovlig, fortolkes således, at også de øvrige regler i forordning 2016/679 – såsom artikel 5, artikel 6, stk. 1, og artikel 9, stk. 1 og 2, i forordning 2016/679 – altid skal overholdes?

2. Såfremt det første spørgsmål besvares bekræftende: Må en national bestemmelse vedtaget i henhold til databeskyttelsesforordningens artikel 88, stk. 1 – såsom § 26, stk. 4, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) – fortolkes således, at parterne i en kollektiv overenskomst (her parterne i en lokalaftale) ved vurderingen af behandlingens nødvendighed som omhandlet i databeskyttelsesforordningens artikel 5, artikel 6, stk. 1, og artikel 9, stk. 1 og 2, har en skønsmargen, der kun er underlagt en begrænset domstolskontrol?

3. Såfremt det andet spørgsmål besvares bekræftende: Hvad må domstolskontrollen i et sådant tilfælde begrænses til?

4. Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at personer allerede har ret til erstatning for immateriel skade, hvis deres personoplysninger er blevet behandlet i strid med databeskyttelsesforordningens regler, eller forudsætter retten til erstatning herudover, at den registrerede godtgør, at vedkommende har lidt en immateriel skade af en vis betydning?

5. Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?

6. Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges henholdsvis databehandlerens skyld? Må der navligt tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside