DOMSTOLENS DOM (Store Afdeling)
10. februar 2009 (*)
»Annullationssøgsmål – direktiv 2006/24/EF – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester – valg af hjemmel«
I sag C-301/06,
angående et annullationssøgsmål i henhold til artikel 230 EF, anlagt den 6. juli 2006,
Irland ved D. O’Hagan, som befuldmægtiget, bistået af E. Fitzsimons, D. Barniville og A. Collins, SC, og med valgt adresse i Luxembourg,
sagsøger,
støttet af:
Den Slovakiske Republik ved J. Čorba, som befuldmægtiget
intervenient,
mod
Europa-Parlamentet først ved H. Duintjer Tebbens, M. Dean og A. Auersperger Matić, dernæst ved de to sidstnævnte og K. Bradley, som befuldmægtigede, og med valgt adresse i Luxembourg
Rådet for Den Europæiske Union ved J.-C. Piris og J. Schutte samt ved S. Kyriakopoulou, som befuldmægtigede,
sagsøgte,
støttet af:
Kongeriget Spanien ved M.A. Sampol Pucurull og J. Rodríguez Cárcamo, som befuldmægtigede, og med valgt adresse i Luxembourg
Kongeriget Nederlandene ved C. ten Dam og C. Wissels, som befuldmægtigede
Kommissionen for De Europæiske Fællesskaber ved C. Docksey og R. Troosters samt ved C. O’Reilly, som befuldmægtigede, og med valgt adresse i Luxembourg
Den Europæiske Tilsynsførende for Databeskyttelse ved H. Hijmans, som befuldmægtiget,
intervenienter,
har
DOMSTOLEN (Store Afdeling)
sammensat af præsidenten, V. Skouris, afdelingsformændene P. Jann, C.W.A. Timmermans, A. Rosas og K. Lenaerts samt dommerne A. Tizzano, J.N. Cunha Rodrigues (refererende dommer), R. Silva de Lapuerta, K. Schiemann, J. Klučka, A. Arabadjiev, C. Toader og J.-J. Kasel,
generaladvokat: Y. Bot
justitssekretær: fuldmægtig C. Strömholm,
på grundlag af den skriftlige forhandling og efter retsmødet den 1. juli 2008,
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 14. oktober 2008,
afsagt følgende
Dom
1 Med dette annullationssøgsmål har Irland nedlagt påstand om, at Domstolen annullerer Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54) med den begrundelse, at direktivet ikke er vedtaget på grundlag af en korrekt hjemmel.
Retsforskrifter
Direktiv 95/46/EF
2 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31) fastsætter regler om behandling af personoplysninger med henblik på at beskytte fysiske personers rettigheder i denne henseende, samtidig med, at den frie bevægelighed for disse data inden for Fællesskabet sikres.
3 Artikel 3, stk. 2, i direktiv 95/46 bestemmer:
»Dette direktiv gælder ikke for sådan behandling af personoplysninger,
– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
– som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.«
Direktiv 2002/58/EF
4 Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation) (EFT L 201, s. 37) blev vedtaget for at supplere direktiv 95/46 med en række særlige bestemmelser inden for sektoren for telekommunikation.
5 Artikel 6, stk. 1, i direktiv 2002/58 bestemmer:
»Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.«
6 Direktivets artikel 15, stk. 1, bestemmer:
»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«
Direktiv 2006/24
7 Det anføres i betragtning 5-11 til direktiv 2006/24:
»5) Mange medlemsstater har vedtaget lovgivning om tjenesteudbyderes lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der er store forskelle mellem disse nationale bestemmelser.
6) De retlige og tekniske forskelle mellem nationale bestemmelser om lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger er en hindring for det indre marked for elektronisk kommunikation, idet tjenesteudbyderne skal opfylde forskellige krav for så vidt angår de typer trafikdata og lokaliseringsdata, der skal lagres, og for så vidt angår betingelserne for lagring og lagringsperioden.
7) I sine konklusioner af 19. december 2002 fremhæver Rådet (retlige og indre anliggender), at den betydelige vækst i de muligheder, der ligger i elektronisk kommunikation, har medført, at data vedrørende anvendelsen af elektronisk kommunikation udgør et særdeles vigtigt og brugbart redskab i forebyggelse, efterforskning, afsløring og retsforfølgning af kriminalitet og strafbare handlinger, især organiseret kriminalitet.
8) I erklæringen om bekæmpelse af terrorisme, der blev vedtaget af Det Europæiske Råd den 25. marts 2004, blev Rådet pålagt at behandle foranstaltninger vedrørende opstilling af regler for tjenesteudbyderes lagring af kommunikationsdata.
9) Ifølge artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder [herefter »EMRK]« har enhver ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Offentlige myndigheder må kun gøre indgreb i udøvelsen af denne ret, hvis det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til bl.a. den nationale sikkerhed og den offentlige tryghed for at forebygge uro eller forbrydelse eller for at beskytte andres rettigheder og friheder. Da lagring af data har vist sig at være et sådant nødvendigt og effektivt efterforskningsredskab for retshåndhævelsen i flere medlemsstater, herunder navnlig i alvorlige sager som organiseret kriminalitet og terrorisme, er det nødvendigt at sikre, at de lagrede data er tilgængelige i forbindelse med håndhævelsen af loven i en vis periode på de vilkår, der er fastsat i dette direktiv. Vedtagelsen af et instrument til lagring af data, der er i overensstemmelse med kravene i artikel 8 i [EMRK], er således en nødvendig foranstaltning.
10) Den 13. juli 2005 bekræftede Rådet på ny i sin erklæring om fordømmelse af terroristangrebene i London, at det er nødvendigt snarest muligt at vedtage fælles foranstaltninger vedrørende lagring af telekommunikationsdata.
11) Det er i undersøgelser blevet påvist, og medlemsstaterne har praktisk erfaring for, at trafikdata og lokaliseringsdata har stor betydning i efterforskning, afsløring og retsforfølgning af strafbare handlinger, og det er derfor nødvendigt på europæisk plan at sikre, at data, som genereres eller behandles af udbydere af elektronisk kommunikation, når de tilbyder offentlige elektroniske kommunikationstjenester eller offentlige kommunikationsnet, lagres i en vis periode på de i dette direktiv fastsatte betingelser.«
8 Det anføres i betragtning 21 til direktivet:
»Målene for dette direktiv, nemlig at harmonisere udbydernes pligt til at lagre visse data og sikre, at disse data gøres tilgængelige i forbindelse med efterforskning, afsløring og retsforfølgning af alvorlige forbrydelser som defineret af de enkelte medlemsstater i deres nationale lovgivning, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af direktivets omfang og virkninger bedre gennemføres på fællesskabsplan. Fællesskabet kan derfor træffe foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. [EF-]traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå disse mål.«
9 Det anføres i betragtning 25 til direktivet:
»Dette direktiv finder anvendelse uanset medlemsstaternes beføjelser til at træffe lovgivningsmæssige foranstaltninger vedrørende retten til adgang til og anvendelse af data for de af dem udpegede nationale myndigheder. Spørgsmål om adgangen til de data, som de nationale offentlige myndigheder lagrer i henhold til dette direktiv, til aktiviteter, der er omhandlet i artikel 3, stk. 2, første led, i direktiv 95/46/EF, falder uden for fællesskabslovgivningens rammer. De kan derimod være underlagt nationale love eller foranstaltninger i medfør af afsnit VI i traktaten om Den Europæiske Union. Sådanne love eller foranstaltninger skal altid fuldt ud respektere de grundlæggende frihedsrettigheder, der følger af medlemsstaternes fælles forfatningsmæssige traditioner, og som er sikret i [EMRK]. […]«
10 Artikel 1, stk. 1, i direktiv 2006/24 bestemmer:
»Formålet med dette direktiv er at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, for så vidt angår lagring af visse data, der genereres eller behandles af dem, med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning.«
11 Direktivets artikel 3, stk. 1, bestemmer:
»Uanset artikel 5, 6 og 9 i direktiv 2002/58/EF vedtager medlemsstaterne foranstaltninger til at sikre, at de i artikel 5 i nærværende direktiv nævnte data, som genereres eller behandles af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for deres jurisdiktion, når de leverer de pågældende kommunikationstjenester, lagres i overensstemmelse med bestemmelserne i nærværende direktiv.«
12 Direktivets artikel 4 præciserer:
»Medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Hver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig [EMRK], således som den er fortolket af Den Europæiske Menneskerettighedsdomstol.«
13 Artikel 5 i direktiv 2006/24 bestemmer:
»1. Medlemsstaterne sikrer, at følgende kategorier af data lagres i medfør af nærværende direktiv:
a) data, der er nødvendige for at spore og identificere kilden til en kommunikation:
[…]
b) data, der er nødvendige for at fastslå en kommunikations bestemmelsessted:
[…]
c) data, der er nødvendige for at fastslå en kommunikations dato, klokkeslæt og varighed:
[…]
d) data, der er nødvendige for at identificere kommunikationens type:
[…]
e) data, der er nødvendige for at identificere brugernes kommunikationsudstyr eller det, der fremstår som værende deres udstyr:
[…]
f) data, der er nødvendige for at foretage en lokalisering af mobilt udstyr:
[…]
2. Data, der afslører indholdet af kommunikationen, kan ikke lagres i medfør af dette direktiv.«
14 Direktivets artikel 6 bestemmer:
»Medlemsstaterne sørger for, at de i artikel 5 omhandlede kategorier af data lagres i mindst seks måneder og højst to år fra datoen for kommunikationen.«
15 Direktivets artikel 7 bestemmer:
»Med forbehold af bestemmelser vedtaget i medfør af direktiv 95/46/EF og direktiv 2002/58/EF skal hver medlemsstat sikre, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet som et minimum respekterer følgende datasikkerhedsprincipper for data, der lagres i overensstemmelse med nærværende direktiv:
[…]«
16 Artikel 8 i direktiv 2006/24 bestemmer:
»Medlemsstaterne sørger for, at de i artikel 5 nævnte data lagres i overensstemmelse med dette direktiv på en sådan måde, at de lagrede data og alle andre nødvendige oplysninger vedrørende disse data kan fremsendes uden unødig forsinkelse til de kompetente myndigheder på disses anmodning.«
17 Direktivets artikel 11 har følgende ordlyd:
»I artikel 15 i direktiv 2002/58/EF indsættes følgende stykke:
»1a. Stk. 1 finder ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til […] direktiv 2006/24 […] til de formål, der er omhandlet i nævnte direktivs artikel 1, stk. 1.««
Sagens baggrund
18 Den 28. april 2004 fremsatte Den Franske Republik, Irland, Kongeriget Sverige og Det Forenede Kongerige Storbritannien og Nordirland et forslag for Rådet om vedtagelse af en rammeafgørelse på grundlag af artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU. Forslaget vedrørte opbevaring af data, der behandles og lagres i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester, og af data, der findes i offentlige kommunikationsnet, med henblik på at forebygge, efterforske, afsløre og strafforfølge kriminalitet og strafbare handlinger, herunder terrorisme (Rådets dok. 8958/04).
19 Kommissionen for De Europæiske Fællesskaber gik ind for den hjemmel, der var anvendt i dette forslag til rammeafgørelse for så vidt angår en del af den. Den bemærkede navnlig, at artikel 47 EU ikke tillader, at en retsakt baseret på EU-traktaten berører gældende fællesskabsret, i dette tilfælde direktiv 95/46 og 2002/58. Da Kommissionen var af den opfattelse, at fællesskabslovgiver havde kompetence til at fastlægge de kategorier af data, som skal opbevares, og opbevaringens varighed, forbeholdt Kommissionen sig ret til at fremsætte et direktivforslag.
20 Den 21. september 2005 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets direktiv, som var baseret på artikel 95 EF, om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58 (KOM(2005) 438 endelig udg.).
21 Under sit møde den 1. og 2. december 2005 valgte Rådet at vedtage et direktiv med hjemmel i EF-traktaten frem for at fortsætte vedtagelsen af en rammeafgørelse.
22 Den 14. december 2005 afgav Europa-Parlamentet en udtalelse i overensstemmelse med proceduren om fælles beslutningstagning i henhold til artikel 251 EF.
23 Under sit møde den 21. februar 2006 vedtog Rådet direktiv 2006/24 med kvalificeret flertal. Irland og Den Slovakiske Republik stemte imod vedtagelsen.
Parternes påstande
24 Irland har nedlagt følgende påstande:
– Direktiv 2006/24 annulleres med den begrundelse, at det ikke er vedtaget på grundlag af en korrekt hjemmel.
– Rådet og Parlamentet tilpligtes at betale sagens omkostninger.
25 Parlamentet har nedlagt følgende påstande:
– Principalt frifindelse.
– Irland tilpligtes at betale alle omkostninger i sagen.
– Subsidiært, såfremt Domstolen annullerer direktiv 2006/24, fastslås det, at retsvirkningerne af det anfægtede direktiv opretholdes, indtil en ny retsakt træder i kraft.
26 Rådet har nedlagt følgende påstande:
– Frifindelse for Irlands påstand.
– Irland tilpligtes at betale sagens omkostninger.
27 Ved kendelse af 1. februar 2007 har Domstolens præsident givet Den Slovakiske Republik tilladelse til at intervenere i sagen til støtte for Irlands påstande og givet Kongeriget Spanien, Kongeriget Nederlandene, Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse tilladelse til at intervenere i sagen til støtte for Parlamentets og Rådets påstande.
Om søgsmålet
Parternes argumenter
28 Irland har gjort gældende, at valget af artikel 95 EF som hjemmel for direktiv 2006/24 grundlæggende er forkert. Hverken artikel 95 EF eller nogen af de øvrige bestemmelser i EF-traktaten indeholder fornøden hjemmel for direktivet. Denne medlemsstat har i det væsentlige gjort gældende, at det eneste – eller subsidiært væsentligste eller afgørende – formål med direktiv 2006/24 er at lette efterforskning, afsløring og retsforfølgning af strafbare handlinger, herunder terrorisme. Det er derfor kun EU-traktatens afsnit VI, navnlig artikel 30 EU, artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU, der indeholder gyldig hjemmel til foranstaltningerne i direktiv 2006/24.
29 Efter Irlands opfattelse viser en gennemgang af betragtningerne 7-11 og 21 til direktiv 2006/24 og dets grundlæggende bestemmelser, navnlig direktivets artikel 1, stk. 1, at det er fejlagtigt og ubegrundet at anvende artikel 95 EF som hjemmel for direktivet. Dette vedrører nemlig klart bekæmpelsen af strafbare handlinger.
30 Efter medlemsstatens opfattelse er det godtgjort, at »tyngdepunktet« for de foranstaltninger, som baseres på artikel 95 EF, skal være at tilnærme de nationale lovgivninger for at forbedre det indre markeds funktion (jf. bl.a. dom af 30.5.2006, forenede sager C-317/04 og C-318/04, Parlamentet mod Rådet og Kommissionen, Sml. I, s. 4721). Bestemmelserne i direktiv 2006/24 vedrører bekæmpelsen af strafbare handlinger og har ikke til formål at afhjælpe eventuelle forstyrrelser på det indre marked.
31 Subsidiært anfører medlemsstaten, at selv om Domstolen, i modsætning til, hvad Irland har gjort gældende, måtte antage, at direktiv 2006/24 bl.a. har til formål at forebygge konkurrencefordrejninger eller hindringer på det indre marked, må dette formål anses for sekundært i forhold til direktivets væsentligste eller afgørende formål, nemlig at bekæmpe kriminalitet.
32 Irland har tilføjet, at direktiv 2002/58 kan ændres ved et andet direktiv, men at fællesskabslovgiver ikke har beføjelse til at anvende et ændringsdirektiv, som vedtages på grundlag af artikel 95 EF, til at inkorporere bestemmelser i direktiv 2002/58, som ikke er omfattet af Fællesskabets kompetence i medfør af den første søjle. Forpligtelser til sikring af, at der er adgang til data med henblik på efterforskning, afsløring og retsforfølgning af strafbare handlinger, henhører under et område, for hvilket det ikke er muligt at vedtage en retsakt på grundlag af EU-traktatens afsnit VI. Vedtagelsen af en sådan retsakt berører derfor ikke bestemmelserne i direktiv 2002/58 i den forstand, hvori dette udtryk er anvendt i artikel 47 EU. Hvis verbet »berører« i artikel 47 er rigtigt forstået, skal det fortolkes således, at det ikke forbyder, at Fællesskabets og Unionens retsakter overlapper hinanden, for så vidt som der er tale om områder, der anses for sekundære og uvæsentlige.
33 Den Slovakiske Republik støtter Irlands opfattelse. Den finder, at artikel 95 EF ikke kan anvendes som hjemmel for direktiv 2006/24, da direktivets hovedformål ikke er at fjerne hindringer og forvridninger på det indre marked. Direktivet har til formål at harmonisere bestemmelserne om lagring af oplysninger i længere tid, end det er økonomisk begrundet for at lette statens foranstaltninger på det strafferetlige område, og derfor kan det ikke vedtages inden for rammerne af Fællesskabets kompetence.
34 Ifølge Den Slovakiske Republik indebærer lagring af personoplysninger i det omfang, som kræves efter direktiv 2006/24, et væsentlig indgreb i den ret til respekt for privatlivet, som tilkommer enhver ifølge EMRK’s artikel 8. Det er tvivlsomt, om et så væsentlig indgreb kan begrundes i økonomiske hensyn, i den foreliggende sag hensynet til, at det indre marked fungerer bedre. Det vil være en mere hensigtsmæssig løsning at vedtage en retsakt, som ligger uden for Fællesskabets kompetence, og hvis hovedformål – og ikke skjulte formål – er at bekæmpe kriminalitet og terrorisme, og som vil give en mere adækvat begrundelse for indgrebet i retten til respekt for privatlivet.
35 Parlamentet har gjort gældende, at Irland foretager en selektiv fortolkning af bestemmelserne i direktiv 2006/24. Det fremgår af direktivets femte og sjette betragtning, at dets væsentligste eller overordnede formål er at ophæve hindringerne for det indre marked for elektronisk kommunikation, og betragtning 25 bekræfter, at adgangen til og anvendelsen af lagrede data ikke er omfattet af Fællesskabets kompetence.
36 Parlamentet har anført, at visse medlemsstater efter terroristangrebene den 11. september 2001 i New York (De Forenede Stater), den 11. marts 2004 i Madrid (Spanien) og den 7. juli 2005 i London (Det Forenede Kongerige) vedtog forskellige regler om lagring af data. Ifølge Parlamentet kan sådanne forskelle hindre levering af tjenesteydelser inden for elektronisk kommunikation. Det er Parlamentets opfattelse, at lagring af data udgør et væsentligt omkostningselement for udbyderne af offentlige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet (herefter »tjenesteudbyderne«), og at eksistensen af forskellige regler på området kan fordreje konkurrencen på det indre marked. Hovedformålet med direktiv 2006/24 er at harmonisere de forpligtelser, som medlemsstaterne pålægger tjenesteudbyderne på området for lagring af data. Af denne grund udgør artikel 95 EF rette hjemmel for direktivet.
37 Parlamentet har ligeledes gjort gældende, at uanset om bekæmpelsen af kriminalitet har væsentlig betydning, er det ikke udelukket at basere direktivet på artikel 95 EF. Selv om bekæmpelsen af kriminalitet utvivlsomt har påvirket de i direktivet foretagne valg, indebærer dette ikke, at valget af artikel 95 EF som hjemmel er ugyldigt.
38 Derudover bestemmer artikel 4 i direktiv 2006/24 helt i overensstemmelse med betragtning 25, at betingelserne for adgang til og anvendelse af lagrede data fastsættes af medlemsstaterne under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig EMRK. Denne fremgangsmåde adskiller sig fra den, der var genstand for dommen i sagen Parlamentet mod Rådet og Kommissionen, hvori luftfartsselskaber var forpligtet til at videregive passageroplysninger til en retshåndhævende myndighed i et tredjeland. Direktivet respekterer således kompetencefordelingen mellem første og tredje søjle.
39 Selv om lagring af personoplysninger ifølge Parlamentet i princippet kan udgøre et indgreb i EMRK’s artikel 8’s forstand, kan indgrebet ifølge samme artikel være begrundet i den nationale sikkerhed og for at forebygge forbrydelser. Indgrebets begrundelse bør imidlertid holdes adskilt fra spørgsmålet om valg af korrekt hjemmel i Den Europæiske Unions retsorden, idet disse to spørgsmål ikke har nogen indbyrdes forbindelse.
40 Rådet har gjort gældende, at der hos de nationale retshåndhævende myndigheder var en stigende bekymring i årene efter vedtagelsen af direktiv 2002/58 for, at nyskabelser på området for elektronisk kommunikation kunne være incitament til kriminelle handlinger. Ifølge Rådet førte disse bekymringer medlemsstaterne til at vedtage foranstaltninger med henblik på at hindre sletning af data vedrørende elektronisk kommunikation og med henblik på at sikre, at de står til rådighed for de retshåndhævende myndigheder. Foranstaltningerne var imidlertid forskellige og begyndte at forstyrre det indre markeds gnidningsløse funktion. Dette angives udtrykkeligt i femte og sjette betragtning til direktiv 2006/24.
41 Det var denne situation, som foranledigede fællesskabslovgiver til at fastsætte ensartede regler for tjenesteudbydernes udøvelse af deres virksomhed.
42 Dette er årsagen til, at fællesskabslovgiver i løbet af 2006 anså det for nødvendigt at lade forpligtelsen til at slette data i henhold til artikel 5, 6 og 9 i direktiv 2002/58 bortfalde og i stedet fastsætte, at de i artikel 5 i direktiv 2006/24 omhandlede data for fremtiden skal lagres i en bestemt periode. Denne ændring forpligter medlemsstaterne til at sikre lagring af disse data i mindst seks måneder og højst to år fra datoen for kommunikationen. Formålet med denne ændring var at fastsætte præcise og harmoniserede betingelser, som skal iagttages af tjenesteudbydere med hensyn til, om personoplysninger i henhold til artikel 5 i direktiv 2006/24 skal slettes eller ej, idet der således indføres fælles regler i Fællesskabet med henblik på at sikre det indre markeds enhed.
43 Rådet har konkluderet, at selv om nødvendigheden af at bekæmpe kriminalitet, herunder terrorisme, har været en afgørende faktor i beslutningen om at ændre rækkevidden af rettighederne og forpligtelserne i henhold til artikel 5, 6 og 9 i direktiv 2002/58, er denne omstændighed ikke til hinder for, at direktiv 2006/24 måtte vedtages på grundlag af artikel 95 EF.
44 Hverken artikel 30 EU, 31 EU og 34 EU eller nogen anden artikel i EU-traktaten kan danne hjemmel for en retsakt, som i det væsentlige har til formål at ændre betingelserne for tjenesteudbydernes udøvelse af deres virksomhed, eller som bevirker, at ordningen i direktiv 2002/58 ikke finder anvendelse på disse.
45 En ordning om, hvilke kategorier af data tjenesteudbyderne skal lagre, og om opbevaringens varighed, der ændrer de forpligtelser, der er pålagt sidstnævnte ved direktiv 2002/58, kan ikke være genstand for en retsakt, der er baseret på EU-traktatens afsnit VI. Vedtagelsen af en sådan retsakt berører derfor bestemmelserne i direktiv 2002/58, hvilket udgør en tilsidesættelse af artikel 47 EU.
46 Ifølge Rådet er de rettigheder, som beskyttes ved EMRK’s artikel 8, ikke absolutte, men kan begrænses i overensstemmelse med de betingelser, som er fastsat i denne artikels stk. 2. Den lagring af data, som er foreskrevet i direktiv 2006/24, tjener en lovlig almen interesse, som er anerkendt ved EMRK’s artikel 8, stk. 2, og udgør et passende middel til at beskytte denne interesse.
47 Kongeriget Spanien og Kongeriget Nederlandene har gjort gældende, at det væsentligste formål med direktiv 2006/24, således som det fremgår af første, anden, femte og sjette betragtning hertil, er at ophæve de hindringer for det indre marked, som afføder retlige og tekniske forskelle mellem medlemsstaternes nationale bestemmelser. Direktivet regulerer lagringen af data med det formål at ophæve denne form for hindringer, dels ved at harmonisere forpligtelsen til at lagre data, dels ved at præcisere de forhold, som denne forpligtelse vedrører, såsom de kategorier af data, der skal lagres, og varigheden af lagringen af disse.
48 Den omstændighed, at direktiv 2006/24 ifølge artikel 1 foretager denne harmonisering »med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning«, er et andet spørgsmål. Direktivet regulerer ikke medlemsstaternes offentlige myndigheders eller politiets behandling af data. Harmoniseringen vedrører derimod udelukkende de aspekter vedrørende lagringen af data, der direkte påvirker tjenesteudbydernes erhvervsmæssige virksomhed.
49 For så vidt som direktivet ændrer direktiv 2002/58 og har en forbindelse til direktiv 95/46, kan de heri indeholdte ændringer udelukkende foretages korrekt ved en fællesskabsretsakt og ikke ved en retsakt henhørende under EU-traktaten.
50 Kommissionen minder om, at flere medlemsstater inden vedtagelsen af direktiv 2006/24 havde truffet nationale foranstaltninger vedrørende lagring af data i medfør af artikel 15, stk. 1, i direktiv 2002/58. Den fremhæver de væsentlige forskelle, som fandtes mellem disse foranstaltninger. F.eks. varierede perioden for lagring af data mellem tre måneder i Nederlandene og fire år i Irland. Ifølge Kommissionen har forpligtelserne vedrørende lagring af data væsentlige økonomiske virkninger for tjenesteudbyderne. En forskel i forpligtelserne kan medføre fordrejninger på det indre marked. På denne baggrund var det lovligt at vedtage direktiv 2006/24 på grundlag af artikel 95 EF.
51 Dette direktiv begrænser desuden forpligtelserne i henhold til direktiv 2002/58 ved at harmonisere dem på fællesskabsplan. Da dette direktiv er baseret på artikel 95 EF, kan retsgrundlaget for direktiv 2006/24 ikke være et andet.
52 Endelig gør Kommissionen gældende, at henvisningen til efterforskning, afsløring og retsforfølgning af grov kriminalitet, som er nævnt i artikel 1, stk. 1, i direktiv 2006/24, henhører under fællesskabsretten, da den tjener til at angive det lovlige formål med de begrænsninger, som dette direktiv foretager i personers rettigheder for så vidt angår databeskyttelse. En sådan angivelse er nødvendig såvel med henblik på at overholde kravene i direktiv 95/46 og 2002/58 som med henblik på iagttagelse af EMRK’s artikel 8.
53 Den Europæiske Tilsynsførende har gjort gældende, at formålet med direktiv 2006/24 er omfattet af artikel 95 EF, dels fordi direktivet har direkte virkning på tjenesteudbydernes erhvervsmæssig virksomhed og derfor kan bidrage til oprettelsen af det indre marked og dets funktion, dels fordi der ville have kunnet opstå en konkurrencefordrejning på det indre marked, hvis fællesskabslovgiver ikke havde grebet ind. Formålet om at forebygge strafbare handlinger er hverken direktivets eneste formål eller hovedformål. Formålet med direktivet er derimod først og fremmest at bidrage til oprettelsen af det indre marked og dets funktion samt at fjerne konkurrencefordrejninger. Med dette direktiv harmoniseres de nationale bestemmelser om den lagring af visse data, som foretages af private virksomheder inden for rammerne af deres normale erhvervsmæssige virksomhed.
54 Direktiv 2006/24 ændrede desuden direktiv 2002/58, som blev vedtaget på grundlag af artikel 95 EF, og følgelig skal førstnævnte direktiv vedtages på grundlag af samme hjemmel. I henhold til artikel 47 EU er det udelukkende fællesskabslovgiver, der har kompetence til at ændre de forpligtelser, der følger af et direktiv, der er vedtaget med hjemmel i EF-traktaten.
55 Såfremt EF-traktaten ikke kunne anvendes som hjemmel for direktiv 2006/24, ville fællesskabsrettens bestemmelser om beskyttelse af data ikke efter Den Europæiske Tilsynsførendes opfattelse beskytte borgerne i det tilfælde, hvor behandlingen af deres personoplysninger letter bekæmpelsen af kriminalitet. I så fald ville den almindelige ordning i henhold til fællesskabsretten for beskyttelse af data finde anvendelse på behandling af data i kommercielt øjemed, men ikke på behandling af de samme data i et kriminalitetsbekæmpende øjemed. Dette ville medføre vanskelige sondringer for tjenesteudbyderne og en forringelse af beskyttelsesniveauet for den berørte person. En sådan situation bør undgås. Dette behov for sammenhæng begrunder, at direktiv 2006/24 vedtages i medfør af EF-traktaten.
Domstolens bemærkninger
56 Det skal indledningsvis bemærkes, at spørgsmålet om Den Europæiske Unions kompetence fremstår forskelligt alt efter, om den pågældende kompetence allerede er blevet tildelt Den Europæiske Union i vid forstand, eller endnu ikke er blevet tildelt dem. I det første tilfælde skal der træffes afgørelse om kompetencefordelingen inden for Unionen, nærmere bestemt spørgsmålet, om der skal vedtages et direktiv med hjemmel i EF-traktaten, eller om der skal vedtages en rammeafgørelse i medfør af EU-traktaten. I det andet tilfælde skal der derimod træffes afgørelse om kompetencefordelingen mellem Unionen og medlemsstaterne, og navnlig spørgsmålet, om Unionen har gjort indgreb i de sidstnævntes kompetence. Den foreliggende sag vedrører det første tilfælde.
57 Det skal ligeledes præciseres, at det af Irland anlagte søgsmål udelukkende vedrører valget af hjemmel og ikke en eventuel tilsidesættelse af grundlæggende rettigheder som følge af indgreb i nydelsen af retten til privatlivets fred, som direktiv 2006/24 indebærer.
58 Irland, der på dette punkt støttes af Den Slovakiske Republik, har gjort gældende, at direktiv 2006/24 ikke kan baseres på artikel 95 EF, da direktivets »tyngdepunkt« ikke vedrører det indre markeds funktion. Direktivet har alene til formål eller har i hvert fald som det væsentligste formål at fremme efterforskning, afsløring og retsforfølgning af strafbare handlinger.
59 Dette kan ikke tiltrædes.
60 Det fremgår af Domstolens faste praksis, at valget af hjemmel for en fællesskabsretsakt skal foretages på grundlag af objektive forhold, herunder bl.a. retsaktens formål og indhold, som gør det muligt at foretage en domstolskontrol (jf. dom af 23.10.2007, sag C-440/05, Kommissionen mod Rådet, Sml. I, s. 9097, præmis 61 og den deri nævnte retspraksis).
61 Direktiv 2006/24 blev vedtaget med hjemmel i EF-traktaten, navnlig artikel 95.
62 Rådet vedtager i henhold til artikel 95, stk. 1, EF de foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion.
63 Fællesskabslovgiver kan anvende artikel 95 EF som hjemmel, navnlig når der er forskel mellem de nationale lovgivninger, og disse kan indebære indgreb i de grundlæggende rettigheder eller skabe konkurrencefordrejninger og have direkte virkning på det indre markeds funktion (jf. i denne retning dom af 12.12.2006, sag C-380/03, Tyskland mod Parlamentet og Rådet, Sml. I, s. 11573, præmis 37 og den deri nævnte retspraksis).
64 Selv om det er muligt at anvende artikel 95 EF som hjemmel for at undgå, at der opstår fremtidige hindringer for samhandelen, der skyldes en uensartet udvikling af de nationale lovgivninger, skal det dog være sandsynligt, at sådanne hindringer vil opstå, og den pågældende foranstaltning skal have til formål at forebygge dem (dommen i sagen Tyskland mod Parlamentet og Rådet, præmis 38 og den deri nævnte retspraksis).
65 Det skal undersøges, om den situation, der førte til vedtagelsen af direktiv 2006/24, opfylder de i de to foregående præmisser anførte betingelser.
66 Som det fremgår af femte og sjette betragtning til direktivet, har fællesskabslovgiver baseret sig på konstateringen af, at der var retlige og tekniske forskelle mellem de nationale bestemmelser om tjenesteudbyderes lagring af data.
67 I denne henseende bekræfter de oplysninger, der er fremlagt for Domstolen, at flere medlemsstater efter de i denne doms præmis 36 nævnte terroristangreb, og efter at de havde indset, at data vedrørende elektronisk kommunikation er et effektivt middel til afsløring og forebyggelse af strafbare handlinger, herunder terrorisme, vedtog foranstaltninger på grundlag af artikel 15, stk. 1, i direktiv 2002/58 med henblik på at pålægge tjenesteudbyderne forpligtelser vedrørende lagring af sådanne data.
68 Det fremgår ligeledes af sagen, at forpligtelserne vedrørende lagring af data har væsentlige økonomiske konsekvenser for tjenesteudbyderne, for så vidt som de kan medføre væsentlige investerings- og driftsudgifter.
69 De oplysninger, der er fremlagt for Domstolen, viser desuden, at de nationale foranstaltninger, der i henhold til artikel 15, stk. 1, i direktiv 2002/58 er vedtaget frem til 2005, er meget forskellige, navnlig hvad angår arten af lagrede data og varigheden heraf.
70 Det kunne desuden klart forudses, at de medlemsstater, som endnu ikke havde indført regler for lagring af data, ville indføre regler på området, der yderligere ville kunne forstærke forskellen mellem de forskellige nationale foranstaltninger.
71 Henset hertil fremgår det, at forskellene mellem de forskellige nationale ordninger, der er vedtaget om lagring af data vedrørende elektronisk kommunikation, kan have en direkte virkning på det indre markeds funktion, og at det var forudseeligt, at denne påvirkning ville blive forværret.
72 En sådan situation berettigede fællesskabslovgiver til at forfølge formålet om at beskytte det indre markeds funktion gennem vedtagelsen af harmoniserede regler.
73 Det skal desuden bemærkes, at ved at fastsætte et harmoniseret niveau for lagring af data på området for elektronisk kommunikation ændrede direktiv 2006/24 bestemmelserne i direktiv 2002/58.
74 Direktiv 2002/58 er udstedt i henhold til artikel 95 EF.
75 Ifølge artikel 47 EU må ingen af bestemmelserne i EF-traktaten berøres af en bestemmelse i EU-traktaten. Dette krav er indeholdt i artikel 29, stk. 1, EU, som indleder sidstnævnte traktats afsnit VI, der har overskriften »Bestemmelser om politisamarbejde og retligt samarbejde i kriminalsager« (dommen i sagen Kommissionen mod Rådet, præmis 52).
76 Artikel 47 EU har i overensstemmelse med artikel 2, femte led, EU og artikel 3, stk. 1, EU til formål at opretholde og udbygge den gældende fællesskabsret, idet det i bestemmelsen er fastsat, at der intet er i EU-traktaten, der berører traktaterne om oprettelse af De Europæiske Fællesskaber og senere traktater og akter om ændring eller supplering af disse (dom af 20.5.2008, sag C-91/05, Kommissionen mod Rådet, endnu ikke trykt i Samling af Afgørelser, præmis 59).
77 Det påhviler således Domstolen at påse, at de retsakter, som ifølge en part henhører under afsnit VI i EU-traktaten, og som henset til deres karakter kan afføde retsvirkninger, ikke griber ind i den kompetence, som er tildelt Fællesskabet ved EF-traktaten (jf. dommen af 20.5.2008 i sagen Kommissionen mod Rådet, præmis 33 og den deri nævnte retspraksis).
78 For så vidt som den ændring af direktiv 2002/58, der er foretaget ved direktiv 2006/24, er omfattet af Fællesskabets kompetence, kunne den ikke være baseret på en bestemmelse i EU-traktaten uden at tilsidesætte traktatens artikel 47.
79 Med henblik på at afgøre, om lovgiver har valgt den rette hjemmel ved vedtagelsen af direktiv 2006/24, skal det materielle indhold af dets bestemmelser gennemgås, således som det ligeledes følger af denne doms præmis 60.
80 Det skal i denne forbindelse bemærkes, at direktivets bestemmelser i det væsentlige er begrænset til tjenesteudbydernes virksomhed og ikke regulerer medlemsstaternes politi eller retslige myndigheders adgang til eller anvendelse af data.
81 Bestemmelserne i direktiv 2006/24 har nærmere bestemt til formål at tilnærme de nationale lovbestemmelser om pligt til at lagre data (artikel 3), de kategorier af data, der skal lagres (artikel 5), lagringsperioderne (artikel 6), databeskyttelse og datasikkerhed (artikel 7) og betingelserne for lagring (artikel 8).
82 Derimod indebærer de foranstaltninger, som er foreskrevet i direktiv 2006/24, ikke i sig selv et indgreb fra medlemsstaternes retshåndhævende myndigheder. Som det navnlig fremgår af direktivets artikel 3, skal tjenesteudbyderne kun lagre de data, som genereres eller behandles i forbindelse med præstationen af de pågældende kommunikationstjenester. Disse data er kun dem, der står direkte i forbindelse med disse tjenesteudbyderes udøvelse af deres erhvervsmæssige virksomhed.
83 Direktiv 2006/24 regulerer således de transaktioner, som foretages uafhængigt af iværksættelsen af et eventuelt politisamarbejde og retligt samarbejde i kriminalsager. Direktivet harmoniserer hverken den adgang til data, som tilkommer de nationale kompetente, retshåndhævende myndigheder, eller adgangen for dem til at anvende og indbyrdes udveksle disse data. Disse områder, som i princippet henhører under EU-traktatens afsnit VI, er udelukket fra direktivets bestemmelser, således som det fremgår af betragtning 25 hertil og dets artikel 4.
84 Det fremgår heraf, at det materielle indhold af direktiv 2006/24 hovedsageligt vedrører tjenesteudbydernes virksomhed på det omhandlede område i det indre marked, med undtagelse af de statslige aktiviteter, som henhører under EU-traktatens afsnit VI.
85 Hvad angår det materielle indhold må det fastslås, at direktiv 2006/24 hovedsageligt vedrører det indre markeds funktion.
86 Irland har imod et sådant resultat gjort gældende, at Domstolen med dommen i sagen Parlamentet mod Rådet og Kommissionen annullerede Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT L 183, s. 83, berigtiget i EUT 2005 L 255, s. 168).
87 Domstolen fastslog i præmis 68 i dommen i sagen Parlamentet mod Rådet og Kommissionen, at aftalen vedrørte samme overførsel af oplysninger som omhandlet i Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT L 235, s. 11).
88 Sidstnævnte beslutning vedrørte videregivelse af passageroplysninger fra reservationssystemerne hos de luftfartsselskaber, der er etableret på medlemsstaternes område, til told- og grænsekontrolmyndigheden under De Forenede Staters ministerium for national sikkerhed. Domstolen har fastslået, at denne beslutning vedrørte behandling af oplysninger, der ikke var nødvendige med henblik på luftfartsselskabernes levering af tjenesteydelser, men som ansås for nødvendige for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål. Domstolen har i præmis 57-59 i dommen i sagen Parlamentet mod Rådet og Kommissionen fastslået, at en sådan behandling af oplysninger henhører under artikel 3, stk. 2, i direktiv 95/46, hvorefter direktivet navnlig ikke finder anvendelse på behandling af personoplysninger, der vedrører den offentlige sikkerhed og statens aktiviteter på det strafferetlige område. I overensstemmelse hermed fastslog Domstolen, at beslutning 2004/535 ikke er omfattet af direktiv 95/46’s anvendelsesområde.
89 Eftersom aftalen, der var genstand for afgørelse 2004/496, ligesom beslutning 2004/535 vedrørte en behandling af oplysninger, som ikke var omfattet af direktiv 95/46’s anvendelsesområde, fastslog Domstolen, at afgørelse 2004/496 ikke kunne vedtages gyldigt med hjemmel i artikel 95 EF (dommen i sagen Parlamentet mod Rådet og Kommissionen, præmis 68 og 69).
90 Sådanne betragtninger kan ikke overføres på direktiv 2006/24.
91 I modsætning til afgørelse 2004/496, som vedrørte overførsel af personoplysninger inden for de rammer, der er indført af de offentlige myndigheder for at sikre den offentlige sikkerhed, vedrører direktiv 2006/24 tjenesteudbydernes virksomhed på det indre marked, og det regulerer ikke de offentlige myndigheders kriminalitetsbekæmpelse.
92 Det følger heraf, at de argumenter, som Irland henviser til vedrørende annullation af afgørelse 2004/496 med henvisning til dommen i sagen Parlamentet mod Rådet og Kommissionen, skal forkastes.
93 Henset til ovenstående betragtninger må det fastslås, at direktiv 2006/24 skulle vedtages med hjemmel i artikel 95 EF.
94 Europa-Parlamentet og Rådet for Den Europæiske Union bør derfor frifindes.
Sagens omkostninger
95 I henhold til procesreglementets artikel 69, stk. 2, pålægges det den tabende part til at betale sagens omkostninger, hvis der er nedlagt påstand herom. Da Parlamentet og Rådet har nedlagt påstand om, at Irland tilpligtes at betale sagens omkostninger, og Irland har tabt sagen, bør det pålægges medlemsstaten at betale sagens omkostninger. I henhold til artikel 69, stk. 4, første afsnit, bærer intervenienterne i denne sag deres egne omkostninger.
På grundlag af disse præmisser udtaler og bestemmer Domstolen (Store Afdeling):
1) Europa-Parlamentet og Rådet for Den Europæiske Union frifindes.
2) Irland betaler sagens omkostninger.
3) Kongeriget Spanien, Kongeriget Nederlandene, Den Slovakiske Republik, Kommissionen for De Europæiske Fællesskaber og Den Europæiske Tilsynsførende for Databeskyttelse bærer deres egne omkostninger.
Underskrifter