Language of document : ECLI:EU:C:2016:970

Foreløbig udgave

DOMSTOLENS DOM (Store Afdeling)

21. december 2016 (*)

»Præjudiciel forelæggelse – elektronisk kommunikation – behandling af personoplysninger – fortrolighed i forbindelse med elektronisk kommunikation – beskyttelse – direktiv 2002/58/EF – artikel 5, 6 og 9 samt artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 11 samt artikel 52, stk. 1 – national lovgivning – udbydere af elektroniske kommunikationstjenester – pligt vedrørende generel og udifferentieret lagring af trafikdata og lokaliseringsdata – nationale myndigheder – adgang til data – ingen forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed – forenelighed med EU-retten«

I de forenede sager C-203/15 og C-698/15,

angående anmodninger om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Kammarrätten i Stockholm (appeldomstolen for forvaltningsretlige sager i Stockholm, Sverige) og Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige) ved afgørelse af henholdsvis 29. april 2015 og 9. december 2015, indgået til Domstolen den 4. maj 2015 og den 28. december 2015, i sagerne:

Tele2 Sverige AB (sag C-203/15)

mod

Post- och telestyrelsen,

og

Secretary of State for the Home Department (sag C-698/15)

mod

Tom Watson,

Peter Brice,

Geoffrey Lewis,

procesdeltagere:

Open Rights Group,

Privacy International,

The Law Society of England and Wales,

har

DOMSTOLEN (Store Afdeling)

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, A. Tizzano, afdelingsformændene R. Silva de Lapuerta, T. von Danwitz (refererende dommer), J.L. da Cruz Vilaça, E. Juhász og M. Vilaras samt dommerne A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen og C. Lycourgos,

generaladvokat: H. Saugmandsgaard Øe

justitssekretær: fuldmægtig C. Strömholm,

henset til afgørelse truffet af Domstolens præsident den 1. februar 2016 om at undergive sag C-698/15 den fremskyndede procedure efter artikel 105, stk. 1, i Domstolens procesreglement,

på grundlag af den skriftlige forhandling og efter retsmødet den 12. april 2016,

efter at der er afgivet indlæg af:

–        Tele2 Sverige AB ved advokater M. Johansson og N. Torgerzon, samt ved E. Lagerlöf og S. Backman

–        Tom Watson ved solicitors J. Welch og E. Norton, advocate I. Steele, barrister B. Jaffey og D. Rose, QC

–        Peter Brice og Geoffrey Lewis ved barristers A. Suterwalla og R. de Mello, R. Drabble, QC, og solicitor S. Luke

–        Open Rights Group og Privacy International ved solicitor D. Carey samt barristers R. Mehta og J. Simor

–        The Law Society of England and Wales ved barrister T. Hickman og ved N. Turner

–        den svenske regering ved A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren og L. Swedenborg, som befuldmægtigede

–        Det Forenede Kongeriges regering ved S. Brandon, L. Christie og V. Kaye, som befuldmægtigede, bistået af D. Beard, G. Facenna og J. Eadie, QC, samt af barrister S. Ford

–        den belgiske regering ved J.-C. Halleux, S. Vanrie og C. Pochet, som befuldmægtigede

–        den tjekkiske regering ved M. Smolek og J. Vláčíl, som befuldmægtigede

–        den danske regering ved C. Thorning og M. Wolff, som befuldmægtigede,

–        den tyske regering ved T. Henze, M. Hellmann og J. Kemper, som befuldmægtigede, bistået af Rechtsanwälte M. Kottmann og U. Karpenstein

–        den estiske regering, ved K. Kraavi-Käerdi, som befuldmægtiget

–        Irland ved E. Creedon, L. Williams og A. Joyce, som befuldmægtigede, bistået af D. Fennelly, BL

–        den spanske regering ved A. Rubio González, som befuldmægtiget

–        den franske regering ved G. de Bergues, D. Colas, F.-X. Bréchot og C. David, som befuldmægtigede

–        den cypriotiske regering ved K. Kleanthous, som befuldmægtiget

–        den ungarske regering ved M. Fehér og G. Koós, som befuldmægtigede

–        den nederlandske regering ved M. Bulterman, M. Gijzen og J. Langer, som befuldmægtigede

–        den polske regering ved B. Majczyna, som befuldmægtiget

–        den finske regering ved J. Heliskoski, som befuldmægtiget

–        Europa-Kommissionen ved H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira og J. Vondung, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 19. juli 2016,

afsagt følgende

Dom

1        Anmodningerne om præjudiciel afgørelse vedrører fortolkningen af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 (EUT 2009, L 337, s. 11) (herefter »direktiv 2002/58«), sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

2        Anmodningerne er blevet indgivet i forbindelse med to tvister mellem for så vidt angår den første anmodning Tele2 Sverige AB og Post- och telestyrelsen (den svenske myndighed for post- og teletilsyn, herefter »PTS«) vedrørende den omstændighed, at sidstnævnte har bedt Tele2 Sverige om at lagre sine abonnenters og registrerede brugeres trafikdata og lokaliseringsdata (sag C-203/15), og for så vidt angår den anden anmodning Tom Watson, Peter Brice og Geoffrey Lewis på den ene side og Secretary of State for the Home Department (indenrigsministeren, Det Forenede Kongerige Storbritannien og Nordirland) på den anden side vedrørende spørgsmålet, om section 1 i Data Retention and Investigatory Powers Act 2014 (lov af 2014 om datalagring og efterforskningsbeføjelser, herefter »DRIPA«) (sag C-698/15) er forenelig med EU-retten.

 Retsforskrifter

 EU-retten

 Direktiv 2002/58

3        2., 6., 7., 11., 21., 22., 26. og 30. betragtning til direktiv 2002/58 har følgende ordlyd:

»(2)      Dette direktiv søger at overholde de grundlæggende rettigheder og respektere de principper, der anerkendes i især [chartret]. Direktivet søger især at sikre fuld overholdelse af rettighederne i chartrets artikel 7 og 8.

[…]

(6)      Internettet vender op og ned på de traditionelle markedsstrukturer, idet det udgør en fælles, global infrastruktur for fremføring af en lang række elektroniske kommunikationstjenester. Offentligt tilgængelige elektroniske kommunikationstjenester via internettet giver brugerne nye muligheder, men medfører også nye risikomomenter for deres personoplysninger og privatliv.

(7)      Med hensyn til offentlige kommunikationsnet bør der træffes særlige foranstaltninger af lovgivningsmæssig, administrativ og teknisk art for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og juridiske personers legitime interesser, navnlig mod den voksende risiko, der er forbundet med automatiseret opbevaring og behandling af oplysninger om abonnenter og brugere.

[…]

(11)      Ligesom [Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)] finder dette direktiv ikke anvendelse på beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der er forbundet med aktiviteter, der ikke er omfattet af fællesskabsretten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som fortolket i Den Europæiske Menneskerettighedsdomstols retspraksis. Sådanne foranstaltninger skal være passende, stå i åbenbart rimeligt forhold til det mål, der forfølges, og være nødvendige i et demokratisk samfund, og foranstaltningerne bør omfattes af passende beskyttelsesordninger i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

[…]

(21)      For at beskytte kommunikationshemmeligheden bør der træffes foranstaltninger til at hindre uautoriseret adgang til kommunikation – herunder både selve indholdet og data vedrørende kommunikationen – der finder sted via offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester. Den nationale lovgivning i visse medlemsstater forbyder kun uautoriseret adgang til kommunikation, når det sker med forsæt.

(22)      Det er ikke tanken, at forbuddet mod, at der af andre end brugerne eller uden disses samtykke lagres oplysninger og de dertil hørende trafikdata, skal omfatte enhver automatisk, mellemliggende og kortvarig lagring af denne information, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen i de elektroniske kommunikationsnet, og oplysningerne ikke lagres længere end det tidsrum, der er nødvendigt for transmissionen og af hensyn til trafikstyringen, forudsat at sikkerhedsbeskyttelsen af oplysningerne i lagringsperioden fortsat er garanteret. […]

[…]

(26)      Abonnentoplysninger, som behandles i elektroniske kommunikationsnet ved etablering af en kommunikationsforbindelse og fremføring af information, indeholder oplysninger om fysiske personers privatliv og vedrører retten til respekt for deres korrespondance eller vedrører juridiske personers legitime interesser. Sådanne data må kun lagres i det omfang, det er nødvendigt for tjenestens gennemførelse med henblik på debitering og afregning for samtrafik, og kun i et begrænset tidsrum. [Yderligere behandling af sådanne data må] kun ske, hvis abonnenten har givet sit samtykke hertil på grundlag af en nøjagtig og fuldstændig orientering fra udbyderen af de offentligt tilgængelige elektroniske kommunikationstjenester om arten af den yderligere behandling, han agter at foretage, og om abonnentens ret til at nægte eller tilbagekalde sit samtykke til denne behandling. […]

[…]

(30)      Systemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum. […]«

4        Artikel 1 i direktiv 2002/58 med overskriften »Anvendelsesområde og formål« bestemmer:

»1.      Dette direktiv tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig[e] for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Fællesskabet.

2.      Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser direktiv 95/46[…]. Nærværende bestemmelser beskytter desuden legitime interesser hos abonnenter, der er juridiske personer.

3.      Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af traktaten om oprettelse af Det Europæiske Fællesskab, som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«

5        Artikel 2 i direktiv 2002/58 med overskriften »Definitioner« fastsætter:

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv 95/46[…] og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (rammedirektivet) [(EFT 2002, L 108, s. 33].

Følgende definitioner anvendes også:

[…]

b)      »trafikdata«: data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf

c)      »lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender

d)      »kommunikation«: oplysninger, som udveksles eller overføres mellem et begrænset antal parter via en offentligt tilgængelig elektronisk kommunikationstjeneste. Dette omfatter ikke oplysninger, der overføres som del af en radio- og fjernsynstransmissionstjeneste til offentligheden via et elektronisk kommunikationsnet, medmindre oplysningerne kan kædes sammen med en identificerbar abonnent eller bruger, der modtager oplysningerne

[…]«

6        Artikel 3 i direktiv 2002/58 med overskriften »Omfattede tjenester« bestemmer:

»Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«

7        Direktivets artikel 4 med overskriften »Sikkerhed i forbindelse med behandlingen« fastsætter:

»1.      Udbyderen af en offentligt tilgængelig kommunikationstjeneste skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte sine tjenester, for netsikkerhedens vedkommende om nødvendigt sammen med udbyderen af det offentlige kommunikationsnet. Under hensyn til teknologiens stade og omkostningerne i forbindelse med gennemførelsen skal disse foranstaltninger garantere et sikkerhedsniveau, der står i forhold til risikoen.

1a.      Uden at det berører direktiv 95/46[…], skal de i stk. 1 omhandlede foranstaltninger som minimum:

–        sikre, at kun autoriserede personer får adgang til personoplysningerne til lovlige formål

–        beskytte lagrede eller sendte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse, og

–        gennemføre en sikkerhedspolitik for behandling af personoplysninger.

[…]«

8        Artikel 5 i direktiv 2002/58 med overskriften »Kommunikationshemmelighed« har følgende ordlyd:

»1.      Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.

[…]

3.      Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46[…] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

9        Artikel 6 i direktiv 2002/58 med overskriften »Trafikdata« bestemmer:

»1.      Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5, samt artikel 15, stk. 1.

2.      Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

3.      Med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af værdiforøgende tjenester er det tilladt udbyderen af en offentligt tilgængelig elektronisk kommunikationstjeneste at behandle de i stk. 1 omtalte oplysninger i det omfang og tidsrum, som sådanne tjenester eller markedsføringen kræver, hvis den abonnent eller bruger, som oplysningerne vedrører, forudgående har givet sit samtykke hertil. Brugeren eller abonnenten skal på et hvilket som helst tidspunkt have mulighed for at trække sit samtykke til behandling af trafikdata tilbage.

[…]

5.      Behandling af trafikdata i henhold til stk. 1, 2, 3 og 4 må kun foretages af personer, som handler efter bemyndigelse fra udbydere af de offentligt tilgængelige kommunikationsnet og ‑tjenester, og som er beskæftiget med debitering eller trafikstyring, kundeforespørgsler, afsløring af svig, markedsføring af elektroniske kommunikationstjenester eller levering af en tillægstjeneste, og skal begrænses til det for sådanne aktiviteter nødvendige.«

10      Direktivets artikel 9 med overskriften »Lokaliseringsdata, bortset fra trafikdata« fastsætter følgende i stk. 1:

»Hvis lokaliseringsdata, bortset fra trafikdata, vedrørende brugere af eller abonnenter på de offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, kan behandles, må disse data kun behandles, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil, og da kun i det omfang og i det tidsrum, som er nødvendigt for levering af en tillægstjeneste. Tjenesteudbyderen skal, inden brugernes eller abonnenternes samtykke indhentes, underrette dem om, hvilken type lokaliseringsdata, bortset fra trafikdata, der behandles, hvorfor og hvor længe de behandles, og om de videregives til en tredjemand med henblik på levering af tillægstjenesten. […]«

11      Direktivets artikel 15 med overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]« har følgende ordlyd:

»1.      Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.

[…]

1b.      Udbydere skal på grundlag af nationale bestemmelser vedtaget i henhold til stk. 1 fastlægge interne procedurer for behandlingen af anmodninger om adgang til brugeres personlige oplysninger. De skal efter anmodning forelægge den kompetente nationale myndighed oplysninger om disse procedurer, antallet af modtagne anmodninger, den anvendte retlige begrundelse og deres reaktion.

2.      Bestemmelserne i direktiv 95/46[…], kapitel III, »retsmidler, ansvar og sanktioner«, finder anvendelse på nationale bestemmelser, der vedtages til nærværende direktivs gennemførelse, og på individuelle rettigheder afledt af nærværende direktiv.

[…]«

 Direktiv 95/46

12      Artikel 22 i direktiv 95/46, som er indeholdt i direktivets kapitel III, er sålydende:

»Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.«

 Direktiv 2006/24/EF

13      Artikel 1 i Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54), der har overskriften »Formål og anvendelsesområde«, fastsatte følgende i stk. 2:

»Dette direktiv finder anvendelse på trafikdata og lokaliseringsdata vedrørende både juridiske og fysiske personer og på lignende data, der er nødvendige for at identificere abonnenten eller den registrerede bruger. Direktivet finder ikke anvendelse på indholdet af elektroniske kommunikationer, herunder oplysninger der er indhentet over et elektronisk kommunikationsnet.«

14      Direktivets artikel 3 med overskriften »Pligt til at lagre data« bestemmer:

»1.      Uanset artikel 5, 6 og 9 i direktiv 2002/58[…] vedtager medlemsstaterne foranstaltninger til at sikre, at de i artikel 5 i nærværende direktiv nævnte data, som genereres eller behandles af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for deres jurisdiktion, når de leverer de pågældende kommunikationstjenester, lagres i overensstemmelse med bestemmelserne i nærværende direktiv.

2.      Den i stk. 1 nævnte forpligtelse til lagring inkluderer den lagring af data, der er angivet i artikel 5, i forbindelse med forgæves opkaldsforsøg, hvor de pågældende data genereres eller behandles og lagres (for så vidt angår telefonidata) eller logges (for så vidt angår internetdata) af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for den pågældende medlemsstats jurisdiktion, når de leverer de pågældende kommunikationstjenester. Der stilles ikke i dette direktiv krav om lagring af data vedrørende opkald, hvor der ikke opnås forbindelse.«

 Svensk ret

15      Det fremgår af forelæggelsesafgørelsen i sag C-203/15, at den svenske lovgiver med henblik på at gennemføre direktiv 2006/24 i national ret har ændret lagen (2003:389) om elektronisk kommunikation (lov (2003:389) om elektronisk kommunikation, herefter »LEK«) og förordningen (2003:396) om elektronisk kommunikation (forordning (2003:396) om elektronisk kommunikation). Begge disse tekster indeholder i den affattelse, der finder anvendelse på tvisten i hovedsagen, bestemmelser vedrørende lagring af data om elektronisk kommunikation og vedrørende de nationale myndigheders adgang til disse data.

16      Adgangen til de nævnte data er desuden reguleret ved lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (lov (2012:278) om indhentning af data vedrørende elektronisk kommunikation i de retshåndhævende myndigheders efterretningsvirksomhed, herefter »lov 2012:278«) og i rättegångsbalken (retsplejeloven, herefter »RB«).

 Om forpligtelsen til lagring af data om elektronisk kommunikation

17      Det fremgår af den forelæggende rets oplysninger i sag C-203/15, at bestemmelserne i LEK’s kapitel 6, § 16a, sammenholdt med denne lovs kapitel 2, § 1, fastsætter en pligt for udbyderne af elektroniske kommunikationstjenester til at lagre de data, som skulle lagres i henhold til direktiv 2006/24. Der er tale om de data vedrørende abonnementer og enhver elektronisk kommunikation, som er nødvendige for at finde og identificere kommunikationskilden, kommunikationens bestemmelsessted, datoen og tidspunktet for og varigheden og arten af kommunikationen, hvilket kommunikationsudstyr der er blevet anvendt, samt lokaliseringen af mobilt kommunikationsudstyr, der er anvendt ved kommunikationens start og slut. Denne datalagringspligt vedrører data, der genereres eller behandles i forbindelse med telefonitjenester, telefoni via en mobil forbindelse, beskedoverførsel, internetadgang og levering af kapacitet for internetadgang. Denne pligt omfatter ligeledes data om forgæves opkaldsforsøg. Den omfatter derimod ikke indholdet af kommunikationen.

18      §§ 38-43 i forordning (2003:396) om elektronisk kommunikation præciserer de kategorier af data, som skal lagres. Hvad angår telefonitjenester skal den lagrede data bl.a. omfatte det nummer, der ringes fra, og det nummer, der ringes til, samt dato og sporbart tidspunkt for, hvornår kommunikationen startede og sluttede. Hvad angår telefonitjenester via en mobil forbindelse gælder yderligere lagringskrav, således at f.eks. lokaliseringsdata for kommunikationens start og afslutning også skal lagres. Hvad angår telefonitjenester, som omfatter IP-pakker, skal de lagrede data, ud over det førnævnte, også omfatte IP-adresser for den person, der foretager opkaldet, og den person, der ringes til. De data, der skal lagres for så vidt angår beskedoverførselstjenester, omfatter bl.a. senders og modtagers nummer, IP-adresse eller anden meddelelsesadresse. Hvad angår internetadgang skal lagringen bl.a. omfatte brugerens IP-adresse og dato og sporbar tid for på- og aflogning af den tjeneste, som giver internetadgang.

 Om datalagringsperioden

19      I overensstemmelse med LEK’s kapitel 6, § 16d, skal udbyderne af elektroniske kommunikationstjenester lagre de data, der henvises til i det nævnte kapitels § 16a, i seks måneder fra den dag, hvor kommunikationen blev afsluttet. Disse data skal derefter øjeblikkeligt slettes, medmindre andet følger af kapitlets § 16d, stk. 2.

 Om adgangen til de lagrede data

20      Adgangen til de data, der lagres af de nationale myndigheder, er reguleret ved bestemmelserne i lov 2012:278, LEK og RB.

–       Lov 2012:278

21      I forbindelse med oplysningsvirksomheden kan det svenske politi, Säkerhetspolisen (efterretningstjenesten, Sverige) og Tullverket (toldmyndighederne, Sverige) – på grundlag af § 1 i lov 2012:278 og på de betingelser, der er fastsat i loven og uden at informere den i henhold til LEK godkendte udbyder af et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste herom – indsamle data vedrørende de beskeder, der er fremført i et elektronisk kommunikationsnet, det elektroniske kommunikationsudstyr, som befinder sig i et bestemt geografisk område, og det eller de geografiske områder, hvor det elektroniske kommunikationsudstyr befinder sig eller befandt sig.

22      I henhold til §§ 2 og 3 i lov 2012:278 kan der i princippet indsamles data, hvis omstændighederne er sådanne, at foranstaltningen i særlig grad er nødvendig med henblik på at forebygge, forhindre eller opdage kriminel virksomhed, der enten omfatter en eller flere lovovertrædelser, der straffes med fængsel i mindst to år, eller en af de lovovertrædelser, der er opregnet i lovens § 3, som omfatter lovovertrædelser, der straffes med fængsel i under to år. Begrundelsen for denne foranstaltning skal veje tungere end hensynet til det indgreb eller det tab, som foranstaltningen indebærer for den heraf omfattede person eller for en interesse, der står i modsætning hertil. I overensstemmelse med lovens § 5 må varigheden af foranstaltningen ikke overskride en måned.

23      Afgørelsen om at iværksætte en sådan foranstaltning træffes af chefen for den relevante myndighed eller af en anden person, som er bemyndiget hertil. Afgørelsen er ikke undergivet en forudgående kontrol fra en judiciel myndighed eller en uafhængig administrativ myndighed.

24      I medfør af § 6 i lov 2012:278 skal Säkerhets- och integritetsskyddsnämnden (sikkerheds- og integritetsbeskyttelsesnævnet, Sverige) underrettes om enhver afgørelse om at tillade indsamling af data. I overensstemmelse med § 1 i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (lov (2007:980) om tilsyn med visse retshåndhævende aktiviteter) skal nævnte myndighed føre tilsyn med de retshåndhævende myndigheders anvendelse af loven.

–       LEK

25      I medfør af LEK’s kapitel 6, § 22, stk. 1, nr. 2, skal enhver udbyder af elektroniske kommunikationstjenester udlevere abonnementsdata på forespørgsel fra anklagemyndigheden, det svenske politi, efterretningstjenesten eller enhver anden retshåndhævende offentlig myndighed, såfremt disse data vedrører en formodet lovovertrædelse. Ifølge oplysningerne fra den forelæggende ret i sag C-203/15 skal der ikke nødvendigvis være tale om en alvorlig lovovertrædelse.

–       RB

26      RB regulerer kommunikationen af de lagrede data til nationale myndigheder i forbindelse med indledende efterforskning. I henhold til RB’s kapitel 27, § 19, er »overvågning af elektronisk kommunikation« uden tredjemands vidende i princippet tilladt i forbindelse med indledende efterforskning, som bl.a. vedrører lovovertrædelser, der straffes med fængsel i mindst seks måneder. I henhold til RB’s kapitel 27, § 19, forstås ved »overvågning af elektronisk kommunikation« indsamling uden tredjemands vidende af data vedrørende en meddelelse overført via et elektronisk kommunikationsnet, vedrørende det elektroniske kommunikationsudstyr, som befinder sig eller har befundet sig i et bestemt geografisk område, samt vedrørende det eller de geografiske områder, hvor et bestemt elektronisk kommunikationsudstyr befinder sig eller har befundet sig.

27      Ifølge oplysningerne fra den forelæggende ret i sag C-203/15 kan oplysninger om indholdet af en meddelelse ikke indsamles på grundlag af RB’s kapitel 27, § 19. I medfør af RB’s kapitel 27, § 20, kan overvågning af elektronisk kommunikation i princippet kun iværksættes, når der foreligger troværdige beviser, der gør det muligt at mistænke en person for at være gerningsmand til en lovovertrædelse, og når foranstaltningen i særlig grad er nødvendig for efterforskningen, idet sidstnævnte desuden skal vedrøre en lovovertrædelse, som straffes med fængsel i mindst to år, eller forsøg på, forberedelse af eller sammensværgelse om at begå en sådan lovovertrædelse. I henhold til RB’s kapitel 27, § 21, skal anklagemyndigheden, medmindre der er tale om hastende tilfælde, indhente tilladelse fra den kompetente ret til at iværksætte overvågning af elektronisk kommunikation.

 Om sikkerheden vedrørende og beskyttelsen af de lagrede data

28      I medfør af LEK’s kapitel 6, § 3a, skal de udbydere af elektroniske kommunikationstjenester, der er undergivet en datalagringspligt, træffe de tekniske og organisatoriske foranstaltninger, der kræves for at sikre databeskyttelsen under behandlingen. Ifølge oplysningerne fra den forelæggende ret i sag C-203/15 indeholder svensk ret imidlertid ingen bestemmelser om, hvor data skal lagres.

 Det Forenede Kongeriges ret

 DRIPA

29      Section 1 i DRIPA med overskriften »Beføjelser i forbindelse med lagring af relevante kommunikationsdata, som er underlagt sikkerhedsforanstaltninger«, fastsætter:

»(1)      Secretary of State [(indenrigsministeren)] kan ved meddelelse [»retention notice«] pålægge en offentlig teleoperatør at lagre relevante kommunikationsdata, hvis Secretary of State er af den opfattelse, at kravet er nødvendigt og forholdsmæssigt for et eller flere af de formål, der er omfattet af section 22(2), litra a)-h), i Regulation of Investigatory Powers Act 2000 [(lov af 2000 om efterforskningsbeføjelser)] (formål, hvortil der kan indhentes kommunikationsdata).

(2)      En lagringsmeddelelse kan:

(a)      vedrøre en bestemt operatør eller enhver kategori af operatører

(b)      kræve lagring af alle data eller enhver kategori af data

(c)      fastsætte den eller de perioder, hvori data skal lagres

(d)      indeholde andre krav eller begrænsninger med hensyn til lagring af data

(e)      fastsætte forskellige bestemmelser for forskellige formål

(f)      vedrøre data, uanset om de eksisterer på det tidspunkt, hvor meddelelsen udstedes eller træder i kraft.

(3)      Secretary of State kan ved bekendtgørelse fastsætte nærmere bestemmelser om lagringen af relevante kommunikationsdata.

(4)      Sådanne bestemmelser kan navnlig omfatte bestemmelser om:

(a)      krav inden udstedelse af en lagringsmeddelelse

(b)      den maksimale periode, hvori data skal lagres i henhold til en lagringsmeddelelse

(c)      indhold, udstedelse, ikrafttræden, revision, ændring eller tilbagekaldelse af en lagringsmeddelelse

(d)      integritet eller sikkerhed i forbindelse med, beskyttelse af, adgang til eller videregivelse eller tilintetgørelse af data, der lagres i medfør af denne section

(e)      håndhævelse af eller revision af overholdelsen af relevante krav eller begrænsninger

(f)      en praksiskodeks med hensyn til relevante krav eller begrænsninger eller relevante beføjelser

(g)      Secretary of State’s godtgørelse (med eller uden betingelser) af udgifter afholdt af offentlige teleoperatører i forbindelse med overholdelsen af relevante krav eller begrænsninger

(h)      [Data Retention (EC Directive) Regulations 2009 (bekendtgørelse af 2009 vedrørende lagring af data som defineret i EF-direktivet)], der ophører med at have virkning, og overgangen til lagringen af data i medfør af denne section.

(5)      Den maksimale periode, der er fastsat i medfør af subsection (4), litra b), må ikke overstige 12 måneder fra den dato, der er fastsat med hensyn til de data, som er omfattet af de i subsection (3) omhandlede bekendtgørelser.

[…]«

30      I henhold til section 2 i DRIPA omfatter udtrykket »relevante kommunikationsdata« »kommunikationsdata af den type, som er anført i Schedule til 2009 Regulations [vedrørende lagring af data som defineret i EF-direktivet], for så vidt som disse data genereres eller behandles i Det Forenede Kongerige af offentlige teleoperatører, når de leverer de pågældende kommunikationstjenester«.

 RIPA

31      Section 21 i lov af 2000 om efterforskningsbeføjelser (herefter »RIPA«), der er indeholdt i denne lovs kapitel II, og som har overskriften »Indsamling og videregivelse af kommunikationsdata«, fastsætter følgende i subsection (4):

»I dette kapitel forstås ved »kommunikationsdata« enhver af følgende:

(a)      trafikdata indeholdt i eller vedføjet en kommunikation (enten af afsenderen eller på anden måde) i forbindelse med enhver posttjeneste eller ethvert telekommunikationssystem, hvorved den fremføres eller kan fremføres

(b)      oplysninger, som ikke omfatter noget af indholdet af en kommunikation (bortset fra oplysninger, der er omfattet af litra (a)) og vedrører anvendelsen fra en persons side

(i)      af enhver posttjeneste eller telekommunikationstjeneste eller

(ii)      i forbindelse med levering til en person eller en persons anvendelse af en telekommunikationstjeneste, af en del af et telekommunikationssystem

(c)      oplysninger, der ikke er omfattet af litra (a) eller (b), og som en person, der leverer en posttjeneste eller telekommunikationstjeneste, har registreret eller indsamlet om personer, som tjenesten leveres til.«

32      Det fremgår af de oplysninger, som er indeholdt i forelæggelsesafgørelsen i sag C-698/15, at disse data omfatter »en brugers lokaliseringsdata«, men ikke data om indholdet af kommunikationen.

33      Hvad angår adgangen til de lagrede data fastætter RIPA’s section 22:

»(1)      Nærværende section finder anvendelse, når en person, der er ansvarlig i henhold til dette kapitel, finder det nødvendigt at indsamle kommunikationsdata af de grunde, som er anført i subsection (2).

(2)      Det er nødvendigt at indsamle kommunikationsdata af grunde henhørende under nærværende subsection, såfremt disse kommunikationsdata er nødvendige:

(a)      af hensyn til den nationale sikkerhed

(b)      med henblik på forebyggelse eller afsløring af forbrydelser eller forebyggelse af forstyrrelse af den offentlige orden

(c)      af hensyn til Det Forenede Kongeriges økonomiske velfærd

(d)      af hensyn til den offentlige tryghed

(e)      med henblik på beskyttelse af den offentlige sundhed

(f)      med henblik på fastsættelse eller opkrævning af enhver form for skat, told, afgift eller andet bidrag eller gebyr, der skal betales til en offentlig myndighed

(g)      med henblik på i nødstilfælde at forebygge dødsfald eller legemsbeskadigelse eller enhver skade på en persons fysiske eller mentale sundhed eller afhjælpe enhver skade på en persons fysiske eller mentale sundhed

(h)      i henhold til ethvert andet formål (der ikke er omfattet af litra (a)-(g)), der er fastsat i en afgørelse truffet af Secretary of State i henhold til nærværende section.

(4)      Med forbehold af subsection (5) kan den ansvarlige person, når denne finder, at en postoperatør eller en teleoperatør er eller kan være i besiddelse af eller er i stand til at indsamle kommunikationsdata, ved meddelelse til postoperatøren eller teleoperatøren anmode operatøren om

(a)      at indsamle disse data, såfremt den pågældende ikke allerede er i besiddelse heraf, og

(b)      under alle omstændigheder at videregive samtlige data i den pågældendes besiddelse, eller som den pågældende har indsamlet efterfølgende.

(5)      Den ansvarlige person skal ikke meddele tilladelse i henhold til subsection (3) eller indgive en anmodning i henhold til subsection (4), medmindre den pågældende er af den opfattelse, at en indsamling af de omhandlede data, der sker ved en tilladt eller krævet adfærd i medfør af tilladelsen eller anmodningen, står i forhold til det mål, der forfølges med en sådan indsamling af disse data.«

34      I henhold til RIPA’s section 65 kan der indgives klage til Investigatory Powers Tribunal (domstol for efterforskningsbeføjelser, Det Forenede Kongerige), hvis der er en formodning om, at data er blevet indsamlet med urette.

 Data Retention Regulations 2014

35      Data Retention Regulations 2014 (bekendtgørelse af 2014 om datalagring), som blev vedtaget på grundlag af DRIPA, er opdelt i tre dele, hvoraf den anden indeholder bekendtgørelsens Regulations 2-14. Regulation 4 med overskriften »Anmodninger om lagring« bestemmer:

»(1)      Anmodninger om lagring skal indeholde en angivelse af:

(a)      den offentlige teleoperatør (eller en beskrivelse af de operatører), som den er rettet til

(b)      de relevante kommunikationsdata, der skal lagres

(c)      den eller de perioder, hvori data skal lagres

(d)      andre krav eller begrænsninger med hensyn til lagring af data.

(2)      En anmodning om lagring kan ikke indeholde et krav om, at data lagres i mere end 12 måneder fra og med:

(a)      datoen for den pågældende kommunikation for så vidt angår trafikdata eller data om anvendelse af tjenesten, og

(b)      for så vidt angår abonnenter den dato, hvor den berørte person afslutter den pågældende kommunikationstjeneste, eller den dato, hvor data ændres (såfremt denne ligger før).

[…]«

36      Bekendtgørelsens Regulation 7 med overskriften »Integriteten og sikkerheden vedrørende data« har følgende ordlyd:

»(1)      En offentlig teleoperatør, der lagrer data i henhold til section 1 i [DRIPA] skal:

(a)      sikre sig, at de pågældende data har samme integritet og som minimum er underlagt samme sikkerheds- og beskyttelsesniveau som data i de systemer, hvorfra de hidrører

(b)      ved passende tekniske og organisatoriske foranstaltninger sikre sig, at det kun er personale med særlig tilladelse, som kan få adgang til disse data, og

(c)      ved passende tekniske og organisatoriske foranstaltninger beskytte disse data mod ulovlig tilintetgørelse, hændelige tab eller skader eller ulovlig eller ubeføjet lagring, behandling, adgang eller videregivelse.

(2)      En offentlig teleoperatør, som lagrer kommunikationsdata i henhold til section 1 i [DRIPA], skal tilintetgøre de pågældende data, såfremt lagringen heraf ikke længere er tilladt i henhold til nærværende section og ikke på anden vis er tilladt ved lov.

(3)      Kravet i subsection (2) om at tilintetgøre data består i at slette disse data, således at det gøres umuligt at få adgang hertil.

(4)      Det er tilstrækkeligt for operatøren at træffe foranstaltninger, således at sletningen af data sker månedligt eller med kortere mellemrum, afhængigt af operatørens praktiske muligheder.«

37      Bekendtgørelsens Regulation 8 med overskriften »Videregivelse af lagret data« bestemmer:

»(1)      En offentlig teleoperatør skal med henblik på at forebygge enhver videregivelse, som ikke er omfattet af section 1(6)(a) i [DRIPA], indføre passende sikkerhedssystemer (herunder tekniske og organisatoriske foranstaltninger), der fastsætter adgangen til de kommunikationsdata, som lagres i henhold til section 1 i [DRIPA].

(2)      En offentlig teleoperatør, der lagrer data i henhold til section 1 i [DRIPA], skal lagre de pågældende data på en sådan måde, at de uden unødig forsinkelse kan fremføres på anmodning.«

38      Bekendtgørelsens Regulation 9 med overskriften »Informationskommissærens tilsyn« fastsætter:

»Informationskommissæren skal holde tilsyn med overholdelsen af de i denne del fastsatte krav eller begrænsninger i forbindelse med integriteten, sikkerheden eller tilintetgørelsen af data lagret i henhold til section 1 i [DRIPA].«

 Adfærdskodeksen

39      Acquisition and Disclosure of Communications Data Code of Practice (adfærdskodeks vedrørende indsamling og videregivelse af kommunikationsdata, herefter »adfærdskodeksen«) indeholder i punkt 2.5-2.9 og 2.36-2.45 retningslinjer vedrørende nødvendigheden og proportionaliteten af indsamlingen af kommunikationsdata. Ifølge oplysningerne fra den forelæggende ret i sag C-698/15 skal der i henhold til kodeksens punkt 3.72-3.77 lægges særlig vægt på nødvendigheden og proportionaliteten, når de kommunikationsdata, der anmodes om, vedrører en person, som udøver et erhverv, der involverer oplysninger, som er beskyttet af tavshedspligten eller på anden vis er fortrolige.

40      I medfør af kodeksens punkt 3.78-3.84 er en retskendelse påkrævet i det særlige tilfælde, hvor en anmodning vedrørende kommunikationsdata indgives med henblik på at identificere journalisters kilder. I henhold til kodeksens punkt 3.85-3.87 er en retslig godkendelse påkrævet, når anmodningen indgives af lokale myndigheder. Der kræves derimod ingen retskendelse eller tilladelse fra en uafhængig enhed for at få adgang til kommunikationsdata, der er omfattet af fortroligheden i korrespondancen mellem advokater og klienter, eller kommunikationsdata i forbindelse med læger, parlamentsmedlemmer eller præster.

41      Adfærdskodeksens punkt 7.1 bestemmer, at kommunikationsdata, der er erhvervet eller indsamlet i henhold til bestemmelserne i RIPA, og alle udskrifter, resuméer og kopier heraf skal behandles og lagres sikkert. Desuden skal kravene i Data Protection Act (databeskyttelsesloven) overholdes.

42      I henhold til adfærdskodeksens punkt 7.18 skal en offentlig myndighed i Det Forenede Kongerige, når den påtænker eventuelt at videregive kommunikationsdata til udenlandske myndigheder, bl.a. undersøge, om disse data vil blive beskyttet på passende vis. Det fremgår imidlertid af kodeksens punkt 7.22, at overførsel af data til tredjelande kan finde sted, når overførslen er nødvendig af grunde knyttet til en vigtig samfundsinteresse, selv når tredjelandet ikke sikrer et passende beskyttelsesniveau. Ifølge oplysningerne fra den forelæggende ret i sag C-698/15 kan Secretary of State udstede et nationalt sikkerhedscertifikat, hvorved bestemte data undtages fra overholdelse af bestemmelserne i lovgivningen.

43      Det fremgår af kodeksens punkt 8.1, at ved RIPA er indført en Interception of Communications Commissioner (kommissær med ansvar for aflytning af kommunikation, Det Forenede Kongerige), hvis opgave bl.a. er at føre uafhængigt tilsyn med udøvelsen og udførelsen af beføjelserne og opgaverne i kapitel II i del I af RIPA. Således som det fremgår af kodeksens punkt 8.3, må kommissæren, når den pågældende kan »godtgøre, at en person er blevet skadet af en forsætlig eller uagtsom fejl«, oplyse denne person om, at der er mistanke om ulovlig anvendelse af beføjelser.

 Tvisterne i hovedsagen og de præjudicielle spørgsmål

 Sag C-203/15

44      Den 9. april 2014 meddelte Tele2 Sverige, der er en udbyder af elektroniske kommunikationstjenester med hjemsted i Sverige, PTS, at selskabet som følge af, at direktiv 2006/24 var blevet erklæret ugyldigt ved dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, herefter »Digital Rights-dommen«, EU:C:2014:238), fra og med den 14. april 2014 ville ophøre med at lagre de i LEK omhandlede elektroniske kommunikationsdata, og at selskabet ville slette de data, der var blevet lagret frem til denne dato.

45      Den 15. april 2014 fremsendte Rikspolisstyrelsen (den nationale rigspolitistyrelse, Sverige) en klage til PTS, idet Tele2 Sverige var ophørt med at videregive de pågældende data til styrelsen.

46      Den 29. april 2014 udpegede justitieministeren (justitsminister, Sverige) en særlig undersøger, som skulle undersøge den pågældende svenske lovgivning i lyset af Digital Rights-dommen. I en rapport af 13. juni 2014 med overskriften »Datalagring, EU-rätt och svensk rätt, n° Ds 2014:23« (Datalagring, EU-retten og svensk ret, herefter »rapporten af 2014«) konkluderede den særlige undersøger, at den nationale lovgivning om datalagring, således som denne var fastsat i LEK’s §§ 16a-f, hverken var i strid med EU-retten eller med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950 (herefter »EMRK«). Den særlige undersøger understregede, at Digital Rights-dommen ikke kunne fortolkes således, at den kritiserede selve princippet om en generel og udifferentieret lagring af data. Undersøgeren var af den opfattelse, at Digital Rights-dommen heller ikke skulle forstås således, at Domstolen heri havde opstillet en række kriterier, der alle skal være opfyldt, for at en lovgivning kan anses for at være forholdsmæssig. Der skal med henblik på at afgøre, om den svenske lovgivning er forenelig med EU-retten, tages hensyn til samtlige omstændigheder, såsom omfanget af datalagringen i forhold til bestemmelserne om adgang til data, lagringens varighed, beskyttelsen af data og sikkerheden i forbindelse med disse.

47      På denne baggrund meddelte PTS den 19. juni 2014 Tele2 Sverige, at selskabet tilsidesatte de forpligtelser, der var fastsat i den nationale lovgivning, ved ikke at lagre de i LEK omhandlede data i seks måneder med henblik på bekæmpelse af kriminalitet. Ved påbud af 27. juni 2014 pålagde PTS derefter Tele2 Sverige at genoptage lagringen af disse data senest den 25. juli 2014.

48      Tele2 Sverige, der var af den opfattelse, at rapporten af 2014 var baseret på en urigtig fortolkning af Digital Rights-dommen, og at pligten til lagring af disse data var i strid med de ved chartret sikrede grundlæggende rettigheder, anlagde sag ved Förvaltningsrätten i Stockholm (forvaltningsdomstolen i Stockholm, Sverige) til prøvelse af påbuddet af 27. juni 2014. Da den nævnte domstol ved dom af 13. oktober 2014 frifandt PTS, har Tele2 Sverige iværksat appel til prøvelse af denne dom for den forelæggende ret.

49      Ifølge den forelæggende ret skal den svenske lovgivnings forenelighed med EU-retten vurderes i lyset af artikel 15, stk. 1, i direktiv 2002/58. Mens udgangspunktet i henhold til direktivet er, at trafikdata og lokaliseringsdata skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, er der nemlig ved direktivets artikel 15, stk. 1, indført en undtagelse til dette udgangspunkt, idet bestemmelsen, når dette kan begrundes i et af de heri fastsatte hensyn, giver medlemsstaterne tilladelse til at indskrænke denne forpligtelse til sletning eller anonymisering eller til at vedtage retsforskrifter om lagring af data. EU-retten gør det således i visse situationer muligt at lagre elektroniske kommunikationsdata.

50      Den forelæggende ret ønsker ikke desto mindre oplyst, om en generel og udifferentieret pligt til lagring af elektroniske kommunikationsdata som den, der foreligger i hovedsagen, henset til Digital Rights-dommen, er forenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1. Henset til, at parterne har divergerende opfattelser i denne henseende, bør Domstolen udtale sig entydigt om, hvorvidt en generel og udifferentieret lagring af elektroniske kommunikationsdata i sig selv er uforenelig med chartrets artikel 7 og 8 samt artikel 52, stk. 1, således som Tele2 Sverige mener, eller om en sådan datalagrings forenelighed, således som det fremgår af rapporten af 2014, skal bedømmes i lyset af bestemmelserne om adgang til data, om beskyttelsen heraf og sikkerheden i forbindelse hermed og om varigheden af lagringen heraf.

51      På denne baggrund har Kammarrätten i Stockholm (appeldomstolen for forvaltningsretlige sager i Stockholm) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Er en generel forpligtelse til at lagre trafikdata, som omfatter alle personer, alle elektroniske kommunikationsmidler og alle trafikdata uden forskel, begrænsninger eller undtagelser med henblik på at bekæmpe strafbare lovovertrædelser […], forenelig med artikel 15, stk. 1, i direktiv 2002/58, henset til chartrets artikel 7, artikel 8 og artikel 52, stk. 1?

2)      Hvis spørgsmål 1 besvares benægtende, kan lagringen da alligevel være tilladt, hvis

a)      de nationale myndigheders adgang til de lagrede data fastsættes som beskrevet [i forelæggelsesafgørelsens] punkt 19-36, og

b)      sikkerhedskravene er reguleret som beskrevet [i forelæggelsesafgørelsens] punkt 38-43, og

c)      alle relevante data lagres i seks måneder, regnet fra den dag, kommunikationen blev afsluttet, og herefter slettes som beskrevet i [forelæggelsesafgørelsens] punkt 37?«

 Sag C-698/15

52      Tom Watson, Peter Brice og Geoffrey Lewis har hver især anlagt sag ved High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) (retten i første instans (England og Wales), Queen’s Bench (kollegium)), med henblik på prøvelse af lovligheden af DRIPA’s section 1, idet de bl.a. har gjort gældende, at denne section er uforenelig med chartrets artikel 7 og 8 og EMRK’s artikel 8.

53      Ved dom af 17. juli 2015 fastslog High Court of Justice (England & Wales), Queens’ Bench Division (Divisional Court) (retten i første instans (England og Wales), Queen’s Bench (kollegium)), at Digital Rights-dommen fastsatte »ufravigelige EU-retlige krav«, der finder anvendelse på medlemsstaternes lovgivning vedrørende lagring af kommunikationsdata og adgangen til sådanne data. Den nævnte ret fandt, at for så vidt som Domstolen i den nævnte dom fastslog, at direktiv 2006/24 var uforeneligt med proportionalitetsprincippet, kan en national lovgivning med samme indhold som direktivet heller ikke være forenelig med dette princip. Det følger af den underliggende logik i Digital Rights-dommen, at en lovgivning, hvorved der er indført en generel ordning for lagring af kommunikationsdata, udgør en tilsidesættelse af de rettigheder, som er sikret ved chartrets artikel 7 og 8, medmindre denne lovgivning suppleres af en ordning for adgang til data, der er defineret i national ret, og som fastsætter tilstrækkelige garantier for beskyttelsen af disse rettigheder. DRIPA’s section 1 er således ikke forenelig med chartrets artikel 7 og 8, idet bestemmelsen ikke fastsætter klare og præcise regler om adgangen til og anvendelsen af de lagrede data, og idet den ikke gør adgangen til disse data betinget af, at en domstol eller en uafhængig administrativ enhed forinden har foretaget en prøvelse.

54      Secretary of State har iværksat appel til prøvelse af den nævnte dom ved Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige).

55      Den forelæggende ret har anført, at DRIPA’s section 1(1) giver Secretary of State beføjelse til, når der ikke foreligger nogen forudgående tilladelse fra en domstol eller en uafhængig administrativ enhed, at indføre en generel ordning, der pålægger offentlige teleoperatører at lagre alle data vedrørende enhver posttjeneste eller enhver telekommunikationstjeneste i højst 12 måneder, såfremt ministeren finder, at et sådant krav er nødvendigt og forholdsmæssigt med henblik på at forfølge de mål, som er fastsat i Det Forenede Kongeriges lovgivning. Selv om disse data ikke omfatter indholdet af en kommunikation, kan de være særligt indgribende i kommunikationstjenestebrugernes privatliv.

56      Den forelæggende ret har i forelæggelsesafgørelsen og i sin afgørelse af 20. november 2015, som blev afsagt inden for rammerne af appelproceduren, og hvorved den besluttede at forelægge Domstolen nærværende anmodning om præjudiciel afgørelse, anført, at de nationale bestemmelser om lagring af data nødvendigvis er omfattet af artikel 15, stk. 1, i direktiv 2002/58 og derfor skal iagttage de krav, der følger af chartret. I henhold til direktivets artikel 1, stk. 3, har EU-lovgiver imidlertid ikke harmoniseret bestemmelserne om adgang til de lagrede data.

57      Hvad angår Digital Rights-dommens indvirkning på de spørgsmål, der er rejst i tvisten i hovedsagen, har den forelæggende ret anført, at i den sag, som førte til den nævnte dom, skulle Domstolen efterprøve gyldigheden af direktiv 2006/24 og ikke gyldigheden af en national lovgivning. Når bl.a. henses til den tætte forbindelse mellem lagringen af data og adgangen til disse data, var det nødvendigt, at direktivet blev ledsaget af en række garantier, og at bestemmelserne om adgang til disse data derfor blev analyseret i Digital Rights-dommen i forbindelse med efterprøvelsen af, om den ved direktivet indførte ordning for lagring af data var lovlig. Domstolen havde derfor ikke for øje i den nævnte dom at opregne ufravigelige krav, som finder anvendelse på de nationale lovgivninger om adgang til data, der ikke gennemfører EU-retten. Desuden var Domstolens ræsonnement tæt knyttet til det formål, der forfølges med selvsamme direktiv. En national lovgivning skal imidlertid bedømmes i lyset af de formål, der forfølges med denne, og den sammenhæng, hvori den indgår.

58      Hvad angår nødvendigheden af at indbringe en præjudiciel forelæggelse for Domstolen har den forelæggende ret fremhævet den omstændighed, at på tidspunktet for vedtagelsen af forelæggelsesafgørelsen havde seks domstole i andre medlemsstater, herunder fem i sidste instans, ophævet national lovgivning på grundlag af Digital Rights-dommen. Besvarelsen af de forelagte spørgsmål er derfor ikke åbenlys, og den er nødvendig for påkendelsen af de sager, som er blevet indbragt for den forelæggende ret.

59      På denne baggrund har Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager)) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Fastsætter [Digital Rights-dommen] (herunder navnlig dommens præmis 60-62) ufravigelige EU-retlige krav, der finder anvendelse på en medlemsstats nationale ordning for adgang til data, der er lagret i overensstemmelse med national lovgivning, med henblik på at overholde [chartrets] artikel 7 og 8 […]?

2)      Udvider [Digital Rights-dommen] anvendelsesområdet for chartrets artikel 7 og/eller 8 ud over anvendelsesområdet for [EMRK’s] artikel 8 […], således som dette er fastslået i praksis fra Den Europæiske Menneskerettighedsdomstol […]?«

 Retsforhandlingerne for Domstolen

60      Ved kendelse af 1. februar 2016, Davis m.fl. (C-698/15, ikke trykt i Sml., EU:C:2016:70), besluttede Domstolens præsident at imødekomme anmodningen fra Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager)) om at undergive sag C-698/15 den fremskyndede procedure i henhold til artikel 105, stk. 1, i Domstolens procesreglement.

61      Ved afgørelse truffet af Domstolens præsident den 10. marts 2016 blev sagerne C-203/15 og C-698/15 forenet med henblik på den mundtlige forhandling og dommen.

 Om de præjudicielle spørgsmål

 Det første spørgsmål i sag C-203/15

62      Med det første spørgsmål i sag C-203/15 ønsker Kammarrätten i Stockholm (appeldomstolen i forvaltningsretlige sager i Stockholm) nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning som den i hovedsagen omhandlede, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation.

63      Spørgsmålet finder bl.a. sin oprindelse i den omstændighed, at direktiv 2006/24, som den i hovedsagen omhandlede nationale lovgivning havde til formål at gennemføre, blev erklæret ugyldigt ved Digital Rights-dommen, men at parterne er uenige om rækkevidden af den nævnte dom og dennes indvirkning på den pågældende lovgivning, der regulerer lagringen af trafikdata og lokaliseringsdata samt de nationale myndigheders adgang til disse data.

64      Det skal indledningsvis efterprøves, om en national lovgivning som den i hovedsagen omhandlede er omfattet af EU-rettens anvendelsesområde.

 Om anvendelsesområdet for direktiv 2002/58

65      De medlemsstater, som har indgivet skriftlige indlæg til Domstolen, har givet udtryk for divergerende opfattelser for så vidt angår spørgsmålet, om og i hvilket omfang nationale lovgivninger, der vedrører lagring af trafikdata og lokaliseringsdata samt de nationale myndigheders adgang til disse data med henblik på bekæmpelse af kriminalitet, er omfattet af anvendelsesområdet for direktiv 2002/58. Mens bl.a. den belgiske, den danske, den tyske og den estiske regering, Irland samt den nederlandske regering har givet udtryk for den opfattelse, at et sådant spørgsmål skal besvares bekræftende, har den tjekkiske regering nemlig foreslået, at spørgsmålet skal besvares benægtende, idet den nævnte regering har anført, at disse lovgivninger alene har til formål at bekæmpe kriminalitet. Hvad angår Det Forenede Kongeriges regering har denne gjort gældende, at direktivets anvendelsesområde kun omfatter lovgivninger, der vedrører lagring af data, og ikke lovgivninger vedrørende de kompetente nationale retshåndhævelsesmyndigheders adgang til disse data.

66      Hvad endelig angår Kommissionen har denne – selv om den i sit skriftlige indlæg til Domstolen i sag C-203/15 har anført, at den i hovedsagen omhandlede nationale lovgivning er omfattet af anvendelsesområdet for direktiv 2002/58 – i sit skriftlige indlæg i sag C-698/15 anført, at direktivets anvendelsesområde alene omfatter de nationale bestemmelser om lagring af data og ikke de nationale bestemmelser vedrørende de nationale myndigheders adgang til disse data. Ifølge Kommissionen skal der ikke desto mindre tages hensyn til de sidstnævnte bestemmelser ved bedømmelsen af, om en national lovgivning om udbydere af elektroniske kommunikationstjenesters lagring af data udgør et forholdsmæssigt indgreb i de grundlæggende rettigheder, som er sikret ved chartrets artikel 7 og 8.

67      I denne henseende bemærkes, at rækkevidden af anvendelsesområdet for direktiv 2002/58 skal fastlægges under hensyntagen til bl.a. den generelle opbygning af direktivet.

68      Det fremgår af artikel 1, stk. 1, i direktiv 2002/58, at direktivet bl.a. tager sigte på en harmonisering af de nationale bestemmelser, der er nødvendige for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatlivets fred og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor.

69      I henhold til direktivets artikel 1, stk. 3, omfatter direktivets anvendelsesområde ikke »statens aktiviteter« på de heri omhandlede områder, dvs. bl.a. statens aktiviteter på det strafferetlige område og de af statens aktiviteter, der vedrører den offentlige sikkerhed, forsvaret og statens sikkerhed, herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed (jf. analogt for så vidt angår artikel 3, stk. 2, første led, i direktiv 95/46 dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 43, og af 16.12.2008, Satakunnan Markkinapörssi og Satamedia, C-73/07, EU:C:2008:727, præmis 41).

70      Hvad angår artikel 3 i direktiv 2002/58 fremgår det af denne, at direktivet finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Unionen, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr (herefter »elektroniske kommunikationstjenester«). Direktivet skal derfor anses for at regulere den virksomhed, som udbydere af sådanne tjenester, udøver.

71      Artikel 15, stk. 1, i direktiv 2002/58 gør det muligt for medlemsstaterne under iagttagelse af de i direktivet fastsatte betingelser at vedtage »retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i [direktivets] artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9«. Direktivets artikel 15, stk. 1, andet punktum, opstiller som eksempel på foranstaltninger, som medlemsstaterne kan vedtage på denne måde, forskrifter »om lagring af data«.

72      De i artikel 15, stk. 1, i direktiv 2002/58 fastsatte retsforskrifter vedrører ganske vist statens eller statslige myndigheders aktiviteter og har ikke noget at gøre med området for den enkelte borgers aktiviteter (jf. i denne retning dom af 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, præmis 51). De formål, som sådanne foranstaltninger skal opfylde i medfør af denne bestemmelse – i det foreliggende tilfælde beskyttelse af den nationale sikkerhed, forsvaret og den offentlige sikkerhed samt gennemførelse af forebyggelsen, efterforskningen, afsløringen og retsforfølgningen af straffelovsovertrædelser og af uautoriseret brug af det elektroniske kommunikationssystem – kan endvidere i det væsentlige sammenholdes med de formål, der forfølges med de i direktivets artikel 1, stk. 3, omhandlede aktiviteter.

73      Henset til den generelle opbygning af direktiv 2002/58 gør de forhold, der er nævnt i denne doms foregående præmis, det imidlertid ikke muligt at fastslå, at de retsforskrifter, som er omhandlet i artikel 15, stk. 1, i direktiv 2002/58, er udelukket fra direktivets anvendelsesområde, idet denne bestemmelse ellers ville blive frataget enhver effektiv virkning. Den nævnte bestemmelse forudsætter nemlig nødvendigvis, at de heri omhandlede nationale foranstaltninger, såsom foranstaltninger vedrørende lagring af data med henblik på bekæmpelse af kriminalitet, er omfattet af direktivets anvendelsesområde, idet det udtrykkeligt fremgår af direktivet, at medlemsstaterne kun må vedtage dem under iagttagelse af de i direktivet fastsatte betingelser.

74      Endvidere regulerer de retsforskrifter, der er omhandlet i artikel 15, stk. 1, i direktiv 2002/58, med de i bestemmelsen fastsatte formål for øje den virksomhed, som udøves af udbydere af elektroniske kommunikationstjenester. Nævnte artikel 15, stk. 1, sammenholdt med direktivets artikel 3, skal derfor fortolkes således, at sådanne retsforskrifter er omfattet af direktivets anvendelsesområde.

75      Dette anvendelsesområde omfatter navnlig en retsforskrift som den i hovedsagen omhandlede, der pålægger disse udbydere at lagre trafikdata og lokaliseringsdata, idet en sådan virksomhed nødvendigvis indebærer, at udbyderne behandler personoplysninger.

76      Det nævnte anvendelsesområde omfatter ligeledes en retsforskrift, der ligesom den i hovedsagen omhandlede vedrører de nationale myndigheders adgang til de data, der lagres af udbydere af elektroniske kommunikationstjenester.

77      Den ved artikel 5, stk. 1, i direktiv 2002/58 sikrede beskyttelse af fortroligheden i forbindelse med den elektroniske kommunikation og de dermed forbundne trafikdata finder nemlig anvendelse på de foranstaltninger, som træffes af andre end brugerne, hvad enten der er tale om private personer eller enheder eller statslige enheder. Direktivet har til formål, således som det bekræftes i 21. betragtning hertil, at hindre uautoriseret »adgang« til kommunikation, herunder »data vedrørende kommunikationen«, med henblik på at beskytte fortroligheden i forbindelse med elektronisk kommunikation.

78      En retsforskrift, hvorved en medlemsstat på grundlag af artikel 15, stk. 1, i direktiv 2002/58 og med de i bestemmelsen fastsatte formål for øje pålægger udbyderne af elektroniske kommunikationstjenester på de i en sådan foranstaltning fastsatte betingelser at give de nationale myndigheder adgang til de data, der lagres af de nævnte udbydere, vedrører under disse omstændigheder behandling af personoplysninger, som foretages af udbyderne, og behandlingen er omfattet af direktivets anvendelsesområde.

79      For så vidt som lagringen af data desuden kun finder sted med henblik på i påkommende tilfælde at gøre disse data tilgængelige for de kompetente nationale myndigheder, indebærer en national lovgivning om lagring af data i princippet nødvendigvis, at der skal foreligge bestemmelser vedrørende de kompetente nationale myndigheders adgang til de data, som lagres af udbyderne af elektroniske kommunikationstjenester.

80      Denne fortolkning bekræftes af artikel 15, stk. 1b, i direktiv 2002/58, hvorefter udbydere på grundlag af nationale bestemmelser vedtaget i henhold til direktivets artikel 15, stk. 1, skal fastlægge interne procedurer for behandlingen af anmodninger om adgang til brugeres personlige oplysninger.

81      Henset til det ovenstående er en national lovgivning som den, der er omhandlet i sag C-203/15 og sag C-698/15, omfattet af anvendelsesområdet for direktiv 2002/58.

 Om fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1

82      Det bemærkes, at i overensstemmelse med artikel 1, stk. 2, i direktiv 2002/58 »specificerer og supplerer« direktivets bestemmelser direktiv 95/46. Som det fremgår af anden betragtning til direktiv 2002/58, søger direktivet især at sikre fuld overholdelse af rettighederne i chartrets artikel 7 og 8. I denne henseende fremgår det af begrundelsen til forslaget til Europa-Parlamentets og Rådets direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (KOM(2000) 385 endelig), som ligger til grund for direktiv 2002/58, at EU-lovgiver tiltænkte »at sikre, at der fortsat garanteres en høj grad af beskyttelse af personoplysninger og privatlivets fred i forbindelse med alle elektroniske kommunikationstjenester, uanset hvilken teknologi der anvendes«.

83      Med henblik herpå indeholder direktiv 2002/58 særlige bestemmelser, med hvilke det tilsigtes, således som det bl.a. fremgår af sjette og syvende betragtning til direktivet, at beskytte brugerne af elektroniske kommunikationstjenester mod den risiko for personoplysningerne og privatlivet, som ny teknologi og den automatiserede opbevaring og behandling af oplysninger udgør.

84      Navnlig fastsætter direktivets artikel 5, stk. 1, at medlemsstaterne via deres nationale forskrifter skal sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata.

85      Det ved direktiv 2002/58 indførte princip om kommunikationshemmelighed indebærer bl.a., således som det fremgår af direktivets artikel 5, stk. 1, andet punktum, at det i princippet er forbudt for andre end brugerne at lagre de med den elektroniske kommunikation forbundne trafikdata, uden at disse brugere har indvilget heri. Undtaget herfra er alene de personer, for hvilke det lovligt er tilladt i overensstemmelse med direktivets artikel 15, stk. 1, og de tilfælde, hvor den tekniske lagring er nødvendig for overføring af en kommunikation (jf. i denne retning dom af 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, præmis 47).

86      Som bekræftet af 22. og 26. betragtning til direktiv 2002/58, er behandling og lagring af trafikdata således i medfør af direktivets artikel 6 kun tilladt i det omfang og den varighed, der er nødvendige for debiteringen af tjenesteydelserne, markedsføringen heraf og leveringen af tillægstjenester (jf. i denne retning dom af 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, præmis 47 og 48). Hvad særligt angår debiteringen af tjenesteydelserne er en sådan behandling kun tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger. Når denne frist er udløbet, skal de behandlede eller lagrede data slettes eller gøres anonyme. Hvad angår andre lokaliseringsdata end trafikdata fastsætter direktivets artikel 9, stk. 1, at disse data kun kan behandles under visse betingelser og kun, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil.

87      Rækkevidden af bestemmelserne i artikel 5 og 6 samt artikel 9, stk. 1, i direktiv 2002/58, der har til formål at sikre, at kommunikationen og de dermed forbundne data er hemmelige, og at minimere risikoen for misbrug, skal desuden bedømmes i lyset af 30. betragtning til direktivet, hvoraf det fremgår, at »[s]ystemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum«.

88      Artikel 15, stk. 1, i direktiv 2002/58 gør det ganske vist muligt for medlemsstaterne at indføre undtagelser til såvel den i direktivets artikel 5, stk. 1, fastsatte principielle pligt til at sikre kommunikationshemmeligheden af personoplysninger som de tilsvarende forpligtelser, der bl.a. er fastsat i direktivets artikel 6 og 9 (jf. i denne retning dom af 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, præmis 50).

89      For så vidt som artikel 15, stk. 1, i direktiv 2002/58 gør det muligt for medlemsstaterne at begrænse rækkevidden af den principielle pligt til at sikre hemmeligheden for så vidt angår kommunikationen og de dermed forbundne trafikdata, skal bestemmelsen i overensstemmelse med Domstolens faste praksis imidlertid fortolkes strengt (jf. analogt dom af 22.11.2012, Probst, C-119/12, EU:C:2012:748, præmis 23). En sådan bestemmelse kan derfor ikke begrunde, at en fravigelse af denne principielle pligt og navnlig af det i direktivets artikel 5 fastsatte forbud mod at lagre disse data bliver hovedreglen, idet rækkevidden af den sidstnævnte bestemmelse ellers i høj grad ville blive udhulet.

90      I denne henseende bemærkes, at artikel 15, stk. 1, første punktum, i direktiv 2002/58 fastsætter, at de retsforskrifter, som bestemmelsen vedrører, og som udgør en fravigelse af princippet om, at kommunikationen og de dermed forbundne trafikdata skal være hemmelige, skal vedtages »af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller [af hensyn til] forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem« eller af andre hensyn, der er fastsat i artikel 13, stk. 1, i direktiv 95/46, hvortil artikel 15, stk. 1, første punktum, i direktiv 2002/58 henviser (jf. i denne retning dom af 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, præmis 53). En sådan opregning af hensyn er udtømmende, således som det fremgår af sidstnævnte direktivs artikel 15, stk. 1, andet punktum, hvoraf det fremgår, at retsforskrifterne skal være begrundet i »et af de hensyn, der er nævnt« i det nævnte direktivs artikel 15, stk. 1, første punktum. Medlemsstaterne kan dermed ikke vedtage sådanne forskrifter af andre hensyn end dem, der er opregnet i den sidstnævnte bestemmelse.

91      Endvidere fastsætter artikel 15, stk. 1, tredje punktum, i direktiv 2002/58, at »[a]lle i [direktivets artikel 15, stk. 1,] omhandlede forskrifter skal være i overensstemmelse med [EU-rettens] generelle principper, herunder principperne i […] artikel 6, stk. 1 og 2[, EU]«, som omfatter de generelle principper og de grundlæggende rettigheder, der nu er sikret ved chartret. Artikel 15, stk. 1, i direktiv 2002/58 skal således fortolkes i lyset af de grundlæggende rettigheder, som er sikret ved chartret (jf. analogt for så vidt angår direktiv 95/46 dom af 20.5.2003, Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 68, af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 68, og af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 38).

92      I denne henseende bemærkes, at den pligt, der i henhold til en national lovgivning som den i hovedsagen omhandlede er pålagt udbydere af elektroniske kommunikationstjenester, til at lagre trafikdata med henblik på i påkommende tilfælde at gøre dem tilgængelige for de kompetente nationale myndigheder, ikke blot rejser en række spørgsmål vedrørende iagttagelsen af chartrets artikel 7 og 8, der er udtrykkeligt nævnt i de præjudicielle spørgsmål, men ligeledes vedrørende iagttagelsen af ytringsfriheden, som er sikret ved chartrets artikel 11 (jf. analogt for så vidt angår direktiv 2006/24, Digital Rights-dommen, præmis 25 og 70).

93      Der skal således ved fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 tages hensyn til betydningen af såvel retten til respekt for privatlivet, der er sikret ved chartrets artikel 7, som retten til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 8, således som denne betydning fremgår af Domstolens praksis (jf. i denne retning dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 39 og den deri nævnte retspraksis). Det samme gælder for retten til ytringsfrihed henset til den særlige betydning, som denne frihed har i ethvert demokratisk samfund. Denne grundlæggende rettighed, som er sikret ved chartrets artikel 11, udgør et af de væsentlige grundlag for et demokratisk og pluralistisk samfund, idet den er en del af de værdier, som Unionen i overensstemmelse med artikel 2 TEU er støttet på (jf. i denne retning dom af 12.6.2003, Schmidberger, C-112/00, EU:C:2003:333, præmis 79, og af 6.9.2011, Patriciello, C-163/10, EU:C:2011:543, præmis 31).

94      I denne henseende bemærkes, at i overensstemmelse med chartrets artikel 52, stk. 1, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved dette charter, være fastlagt i lovgivningen og respektere disses væsentligste indhold. Under iagttagelse af proportionalitetsprincippet kan der kun indføres begrænsninger i udøvelsen af disse rettigheder og friheder, såfremt disse begrænsninger er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder (dom af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 50).

95      I sidstnævnte henseende fastsætter artikel 15, stk. 1, første punktum, i direktiv 2002/58, at medlemsstaterne kan vedtage en foranstaltning, der fraviger princippet om fortrolighed i forbindelse med kommunikationen og de dermed forbundne trafikdata, når den er »nødvendig, passende og forholdsmæssig i et demokratisk samfund«, henset til de i bestemmelsen fastsatte mål. Hvad angår 11. betragtning til det nævnte direktiv fremgår det nærmere af betragtningen, at en foranstaltning af denne art skal stå i »åbenbart« rimeligt forhold til det mål, der forfølges. Hvad særligt angår lagringen af data opstiller direktivets artikel 15, stk. 1, andet punktum, et krav om, at lagringen kun må finde sted »i en begrænset periode«, og »[når det] kan begrundes« i et af de hensyn, der er nævnt i direktivets artikel 15, stk. 1, første punktum.

96      Iagttagelsen af proportionalitetsprincippet følger ligeledes af Domstolens faste praksis, hvorefter beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan kræver, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige (dom af 16.12.2008, Satakunnan Markkinapörssi og Satamedia, C-73/07, EU:C:2008:727, præmis 56, og af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 77, Digital Rights-dommen, præmis 52, samt dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 92).

97      Hvad angår spørgsmålet, om en national lovgivning som den, der er omhandlet i sag C-203/15, opfylder disse betingelser, bemærkes, at denne lovgivning foreskriver en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation, og at den uden undtagelse forpligter udbyderne af elektroniske kommunikationstjenester til at lagre disse data systematisk og uafbrudt. Således som det fremgår af forelæggelsesafgørelsen, svarer de kategorier af data, som er omhandlet i denne lovgivning, i det væsentlige til de kategorier, hvis lagring var foreskrevet i direktiv 2006/24.

98      De data, som udbydere af offentligt tilgængelige elektroniske kommunikationstjenester således skal lagre, gør det muligt at spore og identificere kilden til en kommunikation og dens bestemmelsessted, fastslå en kommunikations dato, klokkeslæt, varighed og type, identificere brugernes kommunikationsudstyr og lokalisere mobilt udstyr. Disse data omfatter bl.a. navn og adresse på abonnenten eller den registrerede bruger, telefonnummer på den, der foretager opkaldet, og det kaldte nummer samt for internettjenester en IP-adresse. Disse data gør det navnlig muligt at få kendskab til, med hvilken person og ved hjælp af hvilket kommunikationsmiddel en abonnent eller registreret bruger har kommunikeret, samt at tidsfæste kommunikationen og identificere det sted, hvorfra den har fundet sted. Desuden gør de det muligt at være bekendt med hyppigheden af abonnentens eller den registrerede brugers kommunikation med bestemte personer i en given periode (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 26).

99      Disse data vil tilsammen kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 27). Særligt gør disse data det muligt, således som generaladvokaten har anført i punkt 253, 254 og 257-259 i forslaget til afgørelse, at lave en profil af de berørte personer, hvilken oplysning, henset til retten for respekt af privatlivet, er lige så følsom som selve indholdet af kommunikationen.

100    Det indgreb i de grundlæggende rettigheder fastslået i chartrets artikel 7 og 8, som en sådan lovgivning indebærer, er meget vidtrækkende og må anses for at være særligt alvorligt. Den omstændighed, at lagringen af data finder sted, uden at brugerne af de elektroniske kommunikationstjenester oplyses herom, er egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 37).

101    Selv om en sådan lovgivning ikke tillader lagring af indholdet af en elektronisk kommunikation og derfor ikke kan indebære en krænkelse af det væsentligste indhold af disse rettigheder (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 39), kan lagringen af trafikdata og lokaliseringsdata imidlertid have en indvirkning på brugen af de elektroniske kommunikationsmidler, og følgelig på brugerne af disse midlers udøvelse af deres ytringsfrihed, som er sikret ved chartrets artikel 11 (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 28).

102    Henset til alvoren af det indgreb i de omhandlede grundlæggende rettigheder, som udgøres af en national lovgivning, der med henblik på bekæmpelsen af kriminalitet foreskriver lagring af trafikdata og lokaliseringsdata, er det alene bekæmpelse af grov kriminalitet, som kan begrunde en sådan foranstaltning (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 60).

103    Desuden bemærkes, at selv om effektiviteten af bekæmpelsen af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker, kan et sådant mål af almen interesse, hvor grundlæggende det end er, ikke i sig selv begrunde, at en national lovgivning, der foreskriver en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata, anses for nødvendig af hensyn til den nævnte bekæmpelse (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 51).

104    I denne henseende bemærkes for det første, at en sådan lovgivning, henset til sine kendetegn, der er beskrevet i denne doms præmis 97, bevirker, at lagringen af trafikdata og lokaliseringsdata er hovedreglen, mens den ved direktiv 2002/58 indførte ordning opstiller et krav om, at denne lagring af data skal være undtagelsen.

105    For det andet foreskriver en national lovgivning som den i hovedsagen omhandlede, der omfatter alle abonnenter og registrerede brugere generelt, og som er rettet mod alle elektroniske kommunikationsmidler og samtlige trafikdata, ingen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål. Den omfatter generelt alle personer, der gør brug af elektroniske kommunikationstjenester, uden at disse personer – end ikke indirekte – befinder sig i en situation, der vil kunne give anledning til strafferetlig forfølgning. Den finder dermed anvendelse selv på personer, for hvis vedkommende der ikke findes noget som helst indicium for, at deres adfærd kan have – selv en indirekte eller fjern – forbindelse til grove straffelovsovertrædelser. Endvidere indeholder den ikke nogen undtagelsesbestemmelse, således at den finder anvendelse endog på personer, hvis kommunikation i henhold til nationale retsregler er omfattet af tavshedspligt (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 57 og 58).

106    En sådan lovgivning kræver ikke nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed. Den er navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et tidsrum og/eller et geografisk område og/eller en personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af kriminalitet (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 59).

107    En national lovgivning som den i hovedsagen omhandlede overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1.

108    Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.

109    For at opfylde de krav, der er anført i denne doms foregående præmis, skal en sådan national lovgivning for det første fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af en sådan foranstaltning om lagring af data, og som opstiller en række mindstekrav, således at de personer, hvis data er blevet lagret, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der i forebyggende øjemed kan vedtages en foranstaltning om lagring af data, hvorved det sikres, at en sådan foranstaltning begrænses til det strengt nødvendige (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 54 og den deri nævnte retspraksis).

110    Hvad for det andet angår de materielle betingelser, som en national lovgivning, der inden for rammerne af kriminalitetsbekæmpelse gør det muligt i forebyggende øjemed at lagre trafikdata og lokaliseringsdata, skal opfylde, for at det sikres, at den er begrænset til det strengt nødvendige, bemærkes, at selv om sådanne betingelser kan variere i forhold til de foranstaltninger, der træffes med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af grov kriminalitet, skal lagringen af disse data ikke desto mindre altid opfylde objektive kriterier, som fastlægger et forhold mellem de data, der skal lagres, og det forfulgte mål. Navnlig skal sådanne betingelser i praksis være af en sådan art, at de faktisk kan afgrænse omfanget af foranstaltningen og følgelig den berørte personkreds.

111    Hvad angår afgrænsningen af en sådan foranstaltning med hensyn til personkredsen og de potentielt omfattede situationer skal den nationale lovgivning være baseret på objektive forhold, der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse, i det mindste indirekte, til grov kriminalitet, bidrage til bekæmpelse af grov kriminalitet på den ene eller den anden måde eller forhindre en alvorlig fare for den offentlige sikkerhed. En sådan afgrænsning kan sikres gennem et geografisk kriterium, når de kompetente nationale myndigheder på grundlag af objektive forhold finder, at der i et eller flere geografiske områder er en forhøjet risiko for, at sådan kriminalitet bliver planlagt eller begået.

112    Henset til samtlige ovenstående betragtninger skal det første spørgsmål i sag C-203/15 besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation.

 Det andet spørgsmål i sag C-203/15 og det første spørgsmål i sag C-698/15

113    Indledningsvis bemærkes, at Kammarrätten i Stockholm (appeldomstolen for forvaltningsretlige sager i Stockholm) alene har forelagt det andet spørgsmål i sag C-203/15 for det tilfælde, at det første spørgsmål i den nævnte sag besvares benægtende. Dette andet spørgsmål afhænger imidlertid ikke af spørgsmålet om, hvorvidt en lagring af data er generel eller målrettet som omhandlet i denne doms præmis 108-111. Det andet spørgsmål i sag C-203/15 skal derfor besvares sammen med det første spørgsmål i sag C-698/15, som er forelagt uafhængigt af rækkevidden af den pligt til lagring af data, som udbyderne af elektroniske kommunikationstjenester er pålagt.

114    Med det andet spørgsmål i sag C-203/15 og det første spørgsmål i sag C-698/15 ønsker de forelæggende retter nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdata, og navnlig de kompetente nationale myndigheders adgang til de lagrede data, uden at begrænse denne adgang til målet om bekæmpelse af grov kriminalitet, uden at undergive den nævnte adgang en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed og uden at stille et krav om, at de pågældende data lagres på EU’s område.

115    Hvad angår de mål, som kan begrunde en national lovgivning, der fraviger princippet om fortrolighed i forbindelse med elektronisk kommunikation, bemærkes, at for så vidt som opregningen af de mål, der er fastsat i artikel 15, stk. 1, første punktum, i direktiv 2002/58, er udtømmende, således som det er blevet fastslået i denne doms præmis 90 og 102, skal adgangen til de lagrede data faktisk og præcist opfylde et af disse mål. For så vidt som det mål, der forfølges med den pågældende lovgivning, skal stå i forhold til alvoren af det indgreb i de grundlæggende rettigheder, som denne adgang indebærer, følger det desuden heraf, at det på området for forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser alene er bekæmpelse af grov kriminalitet, der kan begrunde en sådan adgang til de lagrede data.

116    Hvad angår iagttagelsen af proportionalitetsprincippet skal en national lovgivning, der regulerer de betingelser, hvorunder udbyderne af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de lagrede data, i overensstemmelse med det, der er blevet fastslået i denne doms præmis 95 og 96, sikre, at en sådan adgang holdes inden for det strengt nødvendige.

117    Da de retsforskrifter, der er omhandlet i artikel 15, stk. 1, i direktiv 2002/58, desuden i overensstemmelse med 11. betragtning til direktivet skal være »omfatte[t] af passende beskyttelsesordninger«, skal en sådan foranstaltning, således som det fremgår af den i denne doms præmis 109 anførte retspraksis, fastsætte klare og præcise regler, der angiver, under hvilke omstændigheder og på hvilke betingelser udbyderne af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de pågældende data. En foranstaltning af denne art skal desuden være retligt bindende i national ret.

118    Med henblik på at sikre, at de kompetente nationale myndigheders adgang til de lagrede data begrænses til det strengt nødvendige, tilkommer det ganske vist national ret at fastsætte de betingelser, hvorunder udbyderne af elektroniske kommunikationstjenester skal give en sådan adgang. Den pågældende nationale lovgivning kan imidlertid ikke begrænse sig til at opstille et krav om, at adgangen opfylder et af målene i artikel 15, stk. 1, i direktiv 2002/58, selv hvis der er tale om bekæmpelse af grov kriminalitet. En sådan national lovgivning skal nemlig også fastsætte de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 61).

119    For så vidt som en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige, skal den pågældende nationale lovgivning således være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til abonnenters eller registrerede brugeres data. I denne henseende kan der i forbindelse med målet om bekæmpelse af kriminalitet i princippet kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse (jf. analogt Menneskerettighedsdomstolens dom af 4.12.2015, Zakharov mod Rusland, CE:ECHR:2015:1204JUD004714306, § 260). I særlige situationer, såsom de situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed, kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed.

120    Med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er det afgørende, at de kompetente nationale myndigheders adgang til de lagrede data i princippet, undtagen i behørigt begrundede hastende tilfælde, er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller denne enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 62. Jf. ligeledes analogt for så vidt angår EMRK’s artikel 8 Menneskerettighedsdomstolens dom af 12.1.2016, Szabó og Vissy mod Ungarn, CE:ECHR:2016:0112JUD003713814, §§ 77 og 80).

121    Det er desuden vigtigt, at de kompetente nationale myndigheder, som har fået adgang til de lagrede data, underretter de berørte personer herom inden for rammerne af de gældende nationale procedurer, så snart underretningen herom ikke kan skade disse myndigheders efterforskning. Denne underretning er nemlig de facto nødvendig for at gøre det muligt for disse personer navnlig at udøve den adgang til retsmidler, som udtrykkeligt er fastsat i artikel 15, stk. 2, i direktiv 2002/58, sammenholdt med artikel 22 i direktiv 95/46, i tilfælde af, at deres rettigheder er blevet tilsidesat (jf. analogt dom af 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, præmis 52, og af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 95).

122    Hvad angår reglerne om sikkerheden vedrørende og beskyttelsen af de data, der lagres af udbydere af elektroniske kommunikationstjenester, bemærkes, at artikel 15, stk. 1, i direktiv 2002/58 ikke gør det muligt for medlemsstaterne at fravige direktivets artikel 4, stk. 1 eller stk. 1a. De sidstnævnte bestemmelser opstiller et krav om, at disse udbydere træffer passende tekniske og organisatoriske foranstaltninger, der gør det muligt at sikre en effektiv beskyttelse af de lagrede data mod risikoen for misbrug og mod enhver ulovlig adgang til disse data. Henset til mængden af lagrede data, den følsomme karakter af disse data og risikoen for ulovlig adgang til disse skal udbyderne af elektroniske kommunikationstjenester med henblik på at sikre de pågældende datas fulde integritet og fortrolighed sikre et særligt højt niveau for beskyttelse og sikkerhed gennem passende tekniske og organisatoriske foranstaltninger. Særligt skal den nationale lovgivning foreskrive en lagring på EU’s område og en irreversibel destruktion af disse data ved udløbet af lagringsperioden (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 66-68).

123    Under alle omstændigheder skal medlemsstaterne sikre, at en uafhængig myndighed fører tilsyn med overholdelsen af det beskyttelsesniveau, som EU-retten sikrer på området for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, idet et sådant tilsyn udtrykkeligt er påkrævet i henhold til chartrets artikel 8, stk. 3, og idet det nævnte tilsyn i overensstemmelse med Domstolens faste praksis udgør et element af afgørende betydning for overholdelsen af beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. I modsat fald ville de personer, hvis personoplysninger er blevet lagret, blive berøvet deres ved chartrets artikel 8, stk. 1 og 3, sikrede ret til at indgive en anmodning til de nationale tilsynsmyndigheder med henblik på beskyttelse af deres oplysninger (jf. i denne retning dom Digital Rights-dommen, præmis 68, og dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 41 og 58).

124    Det tilkommer de forelæggende retter at efterprøve, om og i hvilket omfang de i hovedsagerne omhandlede nationale lovgivninger overholder de krav, der følger af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, således som disse udførligt er beskrevet i denne doms præmis 115-123, for så vidt angår såvel de kompetente nationale myndigheders adgang til de lagrede data som beskyttelsen af og sikkerhedsniveauet i forbindelse med disse data.

125    Henset til samtlige ovenstående betragtninger skal det andet spørgsmål i sag C-203/15 og det første spørgsmål i sag C-698/15 besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdata, og navnlig de kompetente nationale myndigheders adgang til de lagrede data, uden i forbindelse med bekæmpelsen af kriminalitet at begrænse denne adgang til målet om bekæmpelse af grov kriminalitet, uden at undergive den nævnte adgang en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed og uden at stille et krav om, at de pågældende data lagres på EU’s område.

 Det andet spørgsmål i sag C-698/15

126    Med det andet spørgsmål i sag C-698/15 ønsker Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager)) nærmere bestemt oplyst, om Domstolen i Digital Rights-dommen har anlagt en videre fortolkning af chartrets artikel 7 og/eller 8 end den, som Menneskerettighedsdomstolen har anlagt for så vidt angår EMRK’s artikel 8.

127    Indledningsvis bemærkes, at selv om de grundlæggende rettigheder, som er anerkendt i EMRK, udgør generelle principper i EU-retten, således som det bekræftes af artikel 6, stk. 3, TEU, udgør EMRK ikke et retligt instrument, der er formelt integreret i Unionens retsorden, så længe Unionen ikke har tiltrådt den (jf. i denne retning dom af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 45 og den deri nævnte retspraksis).

128    Den i det foreliggende tilfælde omhandlede fortolkning af direktiv 2002/58 skal således alene anlægges i lyset af de grundlæggende rettigheder, der er sikret ved chartret (jf. i denne retning dom af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 46 og den deri nævnte retspraksis).

129    Endvidere bemærkes, at det fremgår af forklaringerne ad chartrets artikel 52, at chartrets artikel 52, stk. 3, skal sikre den nødvendige sammenhæng mellem chartret og EMRK, »dog uden at dette berører EU-rettens og EU-Domstolens autonomi« (dom af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 47). Særligt er chartrets artikel 52, stk. 3, første punktum – således som det udtrykkeligt fremgår af chartrets artikel 52, stk. 3, andet punktum – ikke til hinder for, at EU-retten kan yde en mere omfattende beskyttelse end EMRK. Hertil kommer endelig den omstændighed, at chartrets artikel 8 vedrører en grundlæggende rettighed, der adskiller sig fra chartrets artikel 7, og som ikke har noget sidestykke i EMRK.

130    Ifølge Domstolens faste praksis er begrundelsen for en anmodning om præjudiciel afgørelse dog ikke, at der skal afgives responsa vedrørende generelle eller hypotetiske spørgsmål, men at der skal foreligge et behov med henblik på selve afgørelsen af en retstvist, der vedrører EU-retten (jf. i denne retning dom af 24.4.2012, Kamberaj, C-571/10, EU:C:2012:233, præmis 41, af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 42, og af 27.2.2014, Pohotovosť, C-470/12, EU:C:2014:101, præmis 29).

131    Henset til de betragtninger, der bl.a. fremgår af denne doms præmis 128 og 129, har spørgsmålet om, hvorvidt beskyttelsen i henhold til chartrets artikel 7 og 8 går videre end den beskyttelse, der er sikret ved EMRK’s artikel 8, i det foreliggende tilfælde ingen indflydelse på den fortolkning af direktiv 2002/58, sammenholdt med chartret, som er omhandlet i tvisten i hovedsagen i sag C-698/15.

132    Det fremgår således ikke, at en besvarelse af det andet spørgsmål i sag C-698/15 kan tilvejebringe elementer til fortolkning af EU-retten, som er nødvendige for afgørelsen af den nævnte tvist med hensyn til denne ret.

133    Det følger heraf, at det andet spørgsmål i sag C-698/15 ikke kan antages til realitetsbehandling.

 Sagsomkostningerne

134    Da sagernes behandling i forhold til hovedsagernes parter udgør et led i de sager, der verserer for de forelæggende retter, tilkommer det disse at træffe afgørelse om sagsomkostningerne. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

1)      Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation.

2)      Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdata, og navnlig de kompetente nationale myndigheders adgang til de lagrede data, uden i forbindelse med bekæmpelsen af kriminalitet at begrænse denne adgang til målet om bekæmpelse af grov kriminalitet, uden at undergive den nævnte adgang en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed og uden at stille et krav om, at de pågældende data lagres på EU’s område.

3)      Det andet spørgsmål, der er forelagt af Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige)), kan ikke antages til realitetsbehandling.

Underskrifter


** Processprog: svensk og engelsk.