Language of document : ECLI:EU:C:2013:845

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

P. CRUZ VILLALÓN

fremsat den 12. december 2013 (1)

Sag C-293/12

Digital Rights Ireland Ltd

mod

Minister for Communications, Marine and Natural Resources

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Ireland

og

The Attorney General

(anmodning om præjudiciel afgørelse indgivet af High Court of Ireland (Irland))

og

Sag C-594/12

Kärntner Landesregierung

Michael Seitlinger

og

Christof Tschohl

Andreas Krisch

Albert Steinhauser

Jana Herwig

Sigrid Maurer

Erich Schweighofer

Hannes Tretter

Scheucher Rechtsanwalt GmbH

Maria Wittmann-Tiwald

Philipp Schmuck

Stefan Prochaska

m.fl.

(anmodning om præjudiciel afgørelse indgivet af Verfassungsgerichtshof (Østrig))

»Elektronisk kommunikation – direktiv 2006/24/EF – lagring af data genereret eller behandlet i forbindelse med udbydelse af elektroniske kommunikationstjenester – gyldighed – artikel 5, stk. 4, TEU – forholdsmæssigheden af Unionens handlinger – chartret om grundlæggende rettigheder – artikel 7 – ret til respekt for privatlivet – artikel 8 – beskyttelse af personoplysninger – artikel 52, stk. 1 – indgreb – lovgivningens kvalitet – forholdsmæssig begrænsning af udøvelsen af grundlæggende rettigheder«





1.        Domstolen er i de foreliggende sager blevet forelagt en række præjudicielle spørgsmål om gyldigheden af direktiv 2006/24/EF (2), hvorved Domstolen gives mulighed for at tage stilling til de betingelser, hvorunder Den Europæiske Union i overensstemmelse med forfatningsmæssige hensyn kan begrænse udøvelsen af grundlæggende rettigheder i henhold artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (3) ved et direktiv og de dertil knyttede nationale gennemførelsesforanstaltninger (4). Den omhandlede begrænsning består i en forpligtelse for økonomiske aktører til i et bestemt tidsrum at indsamle og lagre en væsentlig mængde data, der er genereret eller behandlet i forbindelse med elektroniske kommunikation, der foretages af borgere på hele Unionens område, med det formål at sikre adgangen til de nævnte data i forbindelse med efterforskning og retsforfølgning af kriminelle aktiviteter og at sikre, at det indre marked fungerer efter hensigten. Jeg vil inddele min besvarelse i tre dele.

2.        Jeg vil først behandle spørgsmålet om, hvorvidt direktiv 2006/24 er forholdsmæssigt i den forstand, som omhandles i artikel 5, stk. 4, TEU. Jeg vil derefter undersøge, om betingelsen i chartrets artikel 52, stk. 1, hvorefter enhver begrænsning i udøvelsen af de grundlæggende rettigheder skal være »fastlagt i lovgivningen«, kan anses for opfyldt. Endelig vil jeg for det tredje undersøge, om direktiv 2006/24 er i overensstemmelse med proportionalitetsprincippet, stadig i den i chartrets artikel 52, stk. 1, omhandlede betydning.

3.        Inden jeg påbegynder undersøgelsen af de tre nævnte spørgsmål vil jeg behandle tre spørgsmål, som jeg finder afgørende nødvendige at besvare for at forstå de problemstillinger, der opstår i forbindelse med de præjudicielle spørgsmål om gyldighed, som High Court (Irland) og Verfassungsgerichtshof (Østrig) har forelagt.

I –    Retsforskrifter

A –    EU-retten

4.        De vigtigste EU-retlige bestemmelser, der er relevante for undersøgelsen af de præjudicielle spørgsmål, som Domstolen er blevet forelagt i de foreliggende sager, er ud over bestemmelserne i direktiv 2006/24, hvis gyldighed anfægtes i de to sager, og chartrets bestemmelser, bestemmelserne i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (5), og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (6). Jeg vil i det følgende gennemgå disse direktiver og de vigtigste bestemmelser i disse direktiver, hvor dette er nødvendigt for fremstillingen.

B –    National ret

1.      Irsk ret (sag C-293/12)

5.        Artikel 29, stk. 4, nr. 6, i den irske forfatning bestemmer, at ingen af forfatningens bestemmelser ugyldiggør love, der er udstedt, handlinger, der er foretaget, eller foranstaltninger, der er truffet af den irske stat, og som er nødvendige for at opfylde forpligtelser i henhold til medlemskabet af Den Europæiske Union eller De Europæiske Fællesskaber, eller forhindrer love, der er udstedt, handlinger, der er foretaget, eller foranstaltninger, der er truffet af Den Europæiske Union eller De Europæiske Fællesskaber eller disses institutioner eller af organer, der har kompetence i henhold til traktaterne, i at være retskraftige.

6.        Del 7 i straffeloven (terrorhandlinger) af 2005 (Criminal Justice (Terrorist Offences) Act 2005) (7), som nu er ophævet, indeholdt bestemmelser om lagring af telekommunikationsdata. Det fremgik heraf, at telekommunikationsudbydere skulle lagre data vedrørende trafik og sted i et tidsrum, der var specificeret i lovgivningen med henblik på forebyggelse, afsløring, efterforskning eller forfølgning af kriminalitet og beskyttelse af statens sikkerhed. Straffeloven af 2005 gav de kompetente statslige myndigheder, navnlig Commissioner of the Garda Síochána, mulighed for at anmode om fremlæggelse af sådanne data med henblik på disse formål i overensstemmelse med en foreskreven procedure og indførte beskyttelse i form af en klageprocedure, der blev forestået af en uafhængig domstolslignende enhed.

7.        Del 7 i straffeloven af 2005 blev ophævet ved kommunikationsloven (datalagring) af 2011 (Communications (Retention of Data) Act 2011), der blev vedtaget med henblik på at gennemføre direktiv 2006/24, og hvorved der blev indført en ny ordning for datalagring.

2.      Østrigsk ret (sag C-594/12)

8.        § 1 i forbundsloven om databeskyttelse (8), der har forfatningsrang, foreskriver en grundlæggende ret til databeskyttelse.

9.        Direktiv 2006/24 blev gennemført i østrigsk ret ved en forbundslov (9), der indførte en ny artikel 102a i Telekommunikationsgesetz 2003 (lov om telekommunikation) (10), hvorved udbydere af offentligt tilgængelige telekommunikationstjenester blev pålagt en pligt til at lagre de data, der nævnes i bestemmelsen (11).

II – De faktiske omstændigheder, der ligger til grund for tvisterne i hovedsagerne

A –    Sag C-293/12, Digital Rights Ireland

10.      Sagsøgeren i hovedsagen, Digital Rights Ireland Ltd (12), er et selskab med begrænset ansvar, der ifølge selskabsvedtægterne har til formål at fremme og beskytte borgerlige rettigheder og menneskerettigheder, navnlig de rettigheder, der opstår i sammenhæng med moderne kommunikationsteknologier.

11.      DRI, der påstår, at selskabet ejer en mobiltelefon, som blev registreret den 3. juni 2006, og som selskabet hævder at have anvendt fra dette tidspunkt, har anlagt sag mod to ministre for den irske regering, nemlig The Minister for Communications, Marine and Natural Resources og The Minister for Justice, Equality and Law Reform, den irske politidirektør (The Commissioner of the Garda Síochána), den irske stat og den irske stats Attorney General, og har inden for rammerne af denne sag i det væsentlige gjort gældende, at de irske myndigheder ulovligt har behandlet, lagret og kontrolleret data vedrørende selskabets kommunikation.

12.      Selskabet har derfor nedlagt påstand om ophævelse af en række nationale retsakter, der bemyndiger de irske myndigheder til at vedtage foranstaltninger, hvorved udbydere af telekommunikationstjenester pålægges af lagre telekommunikationsdata, idet selskabet er af den opfattelse, at disse retsakter er i strid med den irske forfatning og EU-retten. Selskabet har endvidere med henvisning til chartret om grundlæggende rettigheder og/eller den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (13) anfægtet gyldigheden af direktiv 2006/24, og den forelæggende ret har forelagt Domstolen en række spørgsmål om gyldigheden af det nævnte direktiv.

B –    Sag C-594/12, Seitlinger m.fl.

13.      Den 6. april 2012 indgav Kärntner Landesregierung i henhold til artikel 140, stk. 1, i den østrigske forbundsforfatning (Bundes-Verfassungsgesetz) (14), en begæring til Verfassungsgerichtshof om ophævelse af flere bestemmelser i TKG 2003, navnlig artikel 102a i den affattelse, der fulgte af gennemførelsen af direktiv 2006/24, og som trådte i kraft den 1. april 2012.

14.      Den 25. maj 2012 indgav Michael Seitlinger en begæring til Verfassungsgerichtshof i henhold til artikel 140, stk. 1, i B-VG, idet han anførte, at artikel 102a i TKG 2003 var forfatningsstridig, for så vidt som hans rettigheder derved blev tilsidesat. Michael Seitlinger anførte, at sidstnævnte bestemmelse, der indebærer en forpligtelse for udbyderen af den kommunikationsnettjeneste, som han anvendte, til at lagre data uden skellig grund og uafhængigt af, om dette tekniske set er nødvendigt eller sker med henblik på afregning og uanset, om dette er i overensstemmelse med hans ønsker eller sker med hans vilje, bl.a. udgør en tilsidesættelse af chartrets artikel 8.

15.      Endelig modtog Verfassungsgerichtshof den 15. juni 2012 endnu en begæring i henhold til artikel 140 i B-VG, som var indgivet af 11 130 personer, der gjorde gældende, at den forpligtelse til datalagring, der er fastsat i artikel 102a i TKG 2003, var forfatningsstridig og indebar et indgreb i deres rettigheder, herunder bl.a. chartrets artikel 8.

III – De præjudicielle spørgsmål og retsforhandlingerne for Domstolen

A –    Sag C-293/12, Digital Rights Ireland

16.      High Court har i sag C-293/12 forelagt Domstolen følgende præjudicielle spørgsmål:

»1)      Er begrænsningen af [de] rettigheder[, der tilkommer sagsøgeren i hovedsagen] hvad angår dennes brug af mobiltelefoni, der fremgår af kravene i artikel 3, 4 og 6 i direktiv 2006/24/EF, uforenelig med artikel 5, stk. 4, TEU, for så vidt som den er uforholdsmæssig og er unødvendig eller uhensigtsmæssig i forhold til at opfylde de lovlige mål at:

a)      sikre, at der er adgang til visse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet?

og/eller

b)      sikre den rette funktion af Den Europæiske Unions indre marked?

2)      Navnlig spørges, om

i)      direktiv 2006/24/EF er foreneligt med borgeres ret til at færdes og opholde sig frit inden for medlemsstaternes område, således som fastsat i artikel 21 TEUF?

ii)      direktiv 2006/24/EF er foreneligt med ytringsfriheden, således som fastsat i [chartrets] artikel 7 og [EMRK’s] artikel 8?

iii)      direktiv 2006/24/EF er foreneligt med retten til beskyttelse af personlige oplysninger, således som fastsat i chartrets artikel 8?

iv)      direktiv 2006/24/EF er foreneligt med ytringsfriheden, således som fastsat i chartrets artikel 11 og EMRK’s artikel 10?

v)      direktiv 2006/24/EF er foreneligt med retten til god forvaltning, således som opstillet i chartrets artikel 41?

3)      I hvilket omfang kræver traktaterne – navnlig princippet om loyalt samarbejde, der er opstillet i artikel 4, stk. 3, [TEU] – at en national ret skal undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af direktiv 2006/24/EF er forenelige med den beskyttelse, der ydes med chartret om grundlæggende rettigheder, herunder dettes artikel 7 (således som oplyst ved EMRK’s artikel 8)?«

B –    Sag C-594/12, Seitlinger m.fl.

17.      Verfassungsgerichtshof har i sag C-594/12 forelagt Domstolen følgende præjudicielle spørgsmål:

»1)      Gyldigheden af handlinger fra Unionens organer:

Er artikel 3-9 i Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF forenelig med [chartrets] artikel 7, 8 og 11?

2)      Fortolkning af traktaterne:

2.1      Skal der, set i lyset af forklaringerne til chartrets artikel 8, der i henhold til chartrets artikel 52, stk. 7, er udarbejdet som en vejledning ved fortolkningen af chartret, og som Verfassungsgerichtshof skal inddrage behørigt, tages samme hensyn til Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [(EFT 2001 L 8, s. 1)] som til betingelserne i chartrets artikel 8, stk. 2, og artikel 52, stk. 1, ved bedømmelsen af gyldigheden af indgreb?

2.2      Hvilket forhold er der mellem »EU-retten« som nævnt i chartrets artikel 52, stk. 3, sidste punktum, og de databeskyttelsesretlige direktiver?

2.3      Skal der, henset til, at direktiv 95/46/EF og forordning (EF) nr. 45/2001 indeholder betingelser og begrænsninger for udøvelse af den grundlæggende ret til databeskyttelse i henhold til chartret, ved fortolkning af chartrets artikel 8 tages hensyn til ændringer, der følger af nyere sekundærret?

2.4      Følger det af princippet om overholdelse af det højeste beskyttelsesniveau, som opstilles i chartrets artikel 53, når der henses til chartrets artikel 52, stk. 4, at grænserne for tilladte sekundærretlige indskrænkninger skal drages snævrere?

2.5      Kan der, henset til chartrets artikel 52, stk. 3, præamblens stk. 5 og forklaringerne til artikel 7, hvorefter de rettigheder, der sikres i artikel 7, svarer til dem, der er sikret ved artikel 8 i den europæiske menneskerettighedskonvention (EMRK), udledes synspunkter af Den Europæiske Menneskerettighedsdomstols retspraksis om EMRK’s artikel 8, som påvirker fortolkningen af chartrets artikel 8?«

C –    Retsforhandlingerne for Domstolen

18.      Irish Human Rights Commission (15), Irland, den franske, den italienske, den polske og Det Forenede Kongeriges regering samt Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen har indgivet skriftlige indlæg i sag C-293/12.

19.      Michael Seitlinger, Christof Tschohl, den spanske, den franske, den østrigske og den portugisiske regering samt Parlamentet, Rådet og Kommissionen har indgivet skriftlige indlæg i sag C-594/12.

20.      De to sager blev forenet med henblik på den mundtlige forhandling og dommen ved afgørelse truffet af Domstolens præsident den 6. juni 2013.

21.      Domstolen har med henblik på at afholde et fælles retsmøde i de to sager i henhold til procesreglementets artikel 61 anmodet de parter, der ønsker at give møde, om at afstemme deres respektive synspunkter, at koncentrere deres mundtlige indlæg om foreneligheden af direktiv 2006/24 med chartrets artikel 7 og 8 og at besvare visse spørgsmål. Domstolen har endvidere anmodet Den Europæiske Tilsynsførende for Databeskyttelse (16) om oplysninger i henhold til artikel 24, stk. 2, i statutten for Domstolen.

22.      DRI og IHRC (sag C-293/12), Michael Seitlinger og Christof Tschohl (sag C-594/12), Irland, den spanske, den italienske, den østrigske og Det Forenede Kongeriges regering samt Parlamentet, Rådet, Kommissionen og EDPS har afgivet mundtlige indlæg under det fælles retsmøde, der blev afholdt den 9. juli 2013.

IV – Formaliteten

23.      Parlamentet, Rådet og Kommissionen har i deres skriftlige indlæg i sag C-293/12 i det væsentlige gjort gældende, at High Court ikke har redegjort tilstrækkeligt for de grunde, der gav den anledning til at rejse tvivl om gyldigheden af direktiv 2006/24, navnlig i lyset af artikel 21 TEUF og chartrets artikel 11 og 41. De uklarheder, som High Courts anmodning om præjudiciel afgørelse således giver anledning til, giver imidlertid ikke Domstolen grundlag for at afvise den nævnte anmodning.

V –    Realiteten

24.      De forskellige anmodninger om præjudiciel afgørelse, der er indgivet af High Court i sag C-293/12 og Verfassungsgerichtshof i sag C-594/12, kan inddeles i fire grupper.

25.      Den første gruppe, der udgøres af det første spørgsmål i sag C-293/12, vedrører spørgsmålet, om direktiv 2006/24 er forenelig med artikel 5, stk. 4, TEU. High Court ønsker nemlig nærmere bestemt oplyst, om direktiv 2006/24 generelt er forholdsmæssigt i denne bestemmelses forstand, dvs. om det er nødvendigt og passende for at nå de mål, som forfølges ved direktivet, idet disse mål består i at sikre, at visse data er tilgængelige i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet, og at sikre, at det indre marked fungerer.

26.      Den anden gruppe, der udgøres af det andet spørgsmål i sag C-293/12 og det første spørgsmål i sag C-594/12, vedrører spørgsmålet om foreneligheden af en række bestemmelser i direktiv 2006/24 med flere bestemmelser i chartret, navnlig chartrets artikel 7 om retten til respekt for privatlivet og chartrets artikel 8 om retten til beskyttelse af personoplysninger, og mere generelt spørgsmålet, om de foranstaltninger, der fremgår af direktivet, er forholdsmæssige som omhandlet i chartrets artikel 52, stk. 1. Dette gyldighedsspørgsmål udgør unægtelig kernen i de spørgsmål, som disse sager giver anledning til.

27.      Det andet spørgsmål, der er forelagt af Verfassungsgerichtshof i sag C-594/12, rejser en tredje gruppe af spørgsmål om fortolkningen af chartrets almindelige bestemmelser vedrørende fortolkning og anvendelse af chartret, navnlig chartrets artikel 52, stk. 3, 4 og 7, og artikel 53. Verfassungsgerichtshof ønsker nærmere bestemt i det væsentlige oplysninger om forholdet mellem på den ene side chartrets artikel 8, der fastsætter retten til beskyttelse af personoplysninger, og på den anden side for det første bestemmelserne i direktiv 95/46 og forordning nr. 45/2001, sammenholdt med chartrets artikel 52, stk. 1 og 3 (spørgsmål 2.1, 2.2 og 2.3), for det andet medlemsstaternes forfatningstraditioner (spørgsmål 2.4), sammenholdt med chartrets artikel 52, stk. 4, og for det tredje EMRK og navnlig EMRK’s artikel 8, sammenholdt med chartrets artikel 52, stk. 3 (spørgsmål 2.5).

28.      Endelig har High Court med sit tredje præjudicielle spørgsmål i sag C-293/12, der udgør den fjerde og sidste gruppe af spørgsmål, spurgt Domstolen om fortolkningen af artikel 4, stk. 3, TEU, og nærmere bestemt spørgsmålet om, hvorvidt de nationale retter har pligt til i medfør af forpligtelsen til loyalt samarbejde at undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af direktiv 2006/24 er forenelige med chartrets bestemmelser, og navnlig chartrets artikel 7.

29.      Det skal indledningsvis præciseres, at min undersøgelse i det væsentlige vil omhandle de to første grupper af spørgsmål, og at det, henset til besvarelsen af disse spørgsmål, ikke vil være nødvendigt at besvare de spørgsmål, der udgør de to sidste grupper af spørgsmål. Inden jeg behandler disse spørgsmål, er det imidlertid nødvendigt at fremsætte en række indledende bemærkninger.

A –    Indledende bemærkninger

30.      For at give en fuldstændig besvarelse af de forskellige spørgsmål, der er rejst af de forelæggende retter, skal opmærksomheden henledes på tre forhold, der på afgørende måde bidrager til at karakterisere de foreliggende sager, nemlig for det første den særlige måde, som direktiv 2006/24 fungerer på, for det andet kvalificeringen af, hvad der udgør et indgreb i de omhandlede grundlæggende rettigheder, og endelig for det tredje den betydning, som dommen af 10. februar 2009 i sagen Irland mod Parlamentet og Rådet (17), hvorved Domstolen forkastede et annullationssøgsmål, der var anlagt til prøvelse af det nævnte direktiv på grund af manglende korrekt hjemmel, har for de foreliggende sager.

1.      Den »dobbelte funktion« af direktiv 2006/24 og dette direktivs forhold til direktiv 95/46 og direktiv 2002/58

31.      Direktiv 2006/24 skal først placeres i den rette sammenhæng, idet de lovgivningsmæssige rammer, som direktivet indgår i, hovedsageligt udgøres af direktiv 95/46 og af direktiv 2002/58.

32.      Formålet med direktiv 95/46, der ligesom direktiv 2006/24 er baseret på artikel 114 TEUF, er at pålægge medlemsstaterne en pligt til at sikre fysiske personers ret til respekt for privatlivet i forbindelse med behandling af deres personoplysninger (18) med henblik på at sikre fri udveksling af sådanne oplysninger mellem medlemsstaterne (19). Direktiv 95/46 indeholder bl.a. en række bestemmelser, der fastlægger betingelserne for lovlig behandling af personoplysninger, og angiver de rettigheder, der tilkommer de personer, hvorom der indsamles og behandles data, herunder retten til underretning (20), retten til aktindsigt (21), retten til at gøre indsigelse (22) og retten til at klage (23), samt sikrer fortrolighed og behandlingssikkerhed.

33.      Den beskyttelsesordning, der er indført med direktiv 95/46, er underlagt en række undtagelser og begrænsninger, der er nærmere fastsat i direktivets artikel 13. Rækkevidden af de rettigheder og forpligtelser, der fremgår af direktiv 95/46 vedrørende oplysningernes pålidelighed (artikel 6, stk. 1), gennemsigtighed i behandlingerne (artikel 10 og artikel 11, stk. 1), ret til aktindsigt for de personer, hvorom der behandles oplysninger (artikel 12), og offentliggørelse af behandlingerne (artikel 21), kan gøres til genstand for lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af disse forpligtelser, når dette er nødvendigt for at sikre bl.a. statens sikkerhed, forsvaret, den offentlige sikkerhed og forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

34.      Direktiv 2002/58, der ophæver og erstatter direktiv 97/66/EF (24), præciserer og supplerer (25) den beskyttelsesordning for personoplysninger, der er indført ved direktiv 95/46, ved særlige regler, der finder anvendelse på den elektroniske kommunikationssektor (26). Direktiv 2002/58 indeholder bl.a. bestemmelser, der pålægger medlemsstaterne, dog med visse undtagelser (27), at sikre ikke blot kommunikationshemmeligheden, men også trafikdata vedrørende de abonnenter og brugere, der benytter elektroniske kommunikationstjenester (28). Artikel 6 i direktiv 2002/58 foreskriver en forpligtelse for udbydere af kommunikationstjenester til at slette eller anonymisere trafikdata vedrørende deres abonnenter og brugere, som behandles og lagres.

35.      Det er i forbindelse med den følgende gennemgang særlig vigtigt at bemærke, at det endvidere af artikel 15, stk. 1, i direktiv 2002/58 fremgår, at medlemsstaterne kan (29) vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der fastsættes i direktivet vedrørende bl.a. kommunikationshemmeligheden (artikel 5) og sletning af trafikdata (artikel 6), og at denne bestemmelse har samme ordlyd som artikel 13, stk. 1, i direktiv 95/46, hvortil bestemmelsen henviser. Det bemærkes, at medlemsstaterne med henblik herpå bl.a. kan vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de i bestemmelsen nævnte hensyn, når dette sker under overholdelse af de grundlæggende rettigheder.

36.      Direktiv 2006/24 indebærer reelt en omfattende ændring af den retstilstand, der ifølge direktiv 95/46 og direktiv 2002/58 (30) gælder for elektronisk kommunikationsdata, idet direktiv 2006/24 pålægger medlemsstaterne at indføre en pligt til at indsamle og lagre trafik- og lokaliseringsdata, der ligger inden for rammerne af de begrænsninger af retten til beskyttelse af personoplysninger, der er fastsat i artikel 13, stk. 1, i direktiv 95/46 og artikel 15, stk. 1, i direktiv 2002/58.

37.      Direktiv 2006/24 er først og fremmest kendetegnet ved at have til formål at harmonisere medlemsstaternes lovgivninger vedrørende lagring af trafik- og lokaliseringsdata, der genereres ved brug af elektroniske kommunikationstjenester. Henset til det område, der er genstand for harmonisering, indebærer dette formål samtidig, at de medlemsstater, der ikke råder over en sådan lovgivning, bliver pålagt en pligt til at indsamle og lagre de nævnte data. Det følger heraf, at direktiv 2006/24 har en dobbelt funktion, som det er nødvendigt at tage i betragtning for at give en korrekt besvarelse af de spørgsmål, der rejses med de foreliggende anmodninger om præjudiciel afgørelse.

38.      Direktiv 2006/24 har for det første til formål at harmonisere medlemsstaternes bestemmelser om de pligter, der allerede er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet (31), for så vidt angår lagring af trafik- og lokaliseringsdata, med henblik på at sikre, at der er adgang til disse data »i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning« (32). Direktiv 2006/24 indebærer således en delvis harmonisering af de bestemmelser, som visse medlemsstater har indført på grundlag af den mulighed, der er indeholdt i artikel 15, stk. 1, i direktiv 2002/58 (33).

39.      Direktiv 2006/24 indfører således en undtagelsesordning (34) vedrørende de principper, der er fastsat i direktiv 95/46 og direktiv 2002/58. Direktivet indebærer helt præcist en undtagelse til undtagelsesbestemmelsen i artikel 15, stk. 1, i direktiv 2002/58 og regulerer medlemsstaternes mulighed for af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46, at begrænse rækkevidden af retten til beskyttelse af personoplysninger og mere generelt retten til respekt for privatlivets fred særligt i forbindelse med levering af elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet.

40.      Ved artikel 11 i direktiv 2006/24 indsættes i øvrigt en væsentlig ændring i form af artikel 15, stk. 1a, hvoraf fremgår, at den nævnte bestemmelses stk. 1 ikke finder anvendelse på de data, der udtrykkeligt kræves lagret i henhold til direktiv 2006/24.

41.      Som Domstolen fastslog i dommen i sagen Irland mod Parlamentet og Rådet, vedrører direktiv 2006/24 hovedsageligt den virksomhed, der udøves af udbydere af elektroniske kommunikationstjenester (35), idet det nævnte direktiv harmoniserer de nationale lovgivninger ved bestemmelser, der i det væsentlige er begrænset (36) til at omhandle datalagring, de kategorier af data, som skal lagres, lagringens varighed, databeskyttelse og datasikkerhed samt lagring (37).

42.      Det er netop på grund af den begrænsede harmoniserende virkning, at Domstolen, som det vil fremgå nedenfor, i dommen i sagen Irland mod Parlamentet og Rådet kunne fastslå, at det var lovligt at vedtage direktiv 2006/24 på grundlag af artikel 95 EF. Der var tale om at forfølge formålet om at beskytte det indre markeds funktion (38) ved at hindre en uensartet udvikling af de gældende nationale lovgivninger (39) og samtidig sikre, at sådanne hindringer ikke ville opstå fremover (40).

43.      Den harmonisering, der tilsigtes ved direktiv 2006/24, er i de foreliggende tilfælde nødvendigvis blevet opnået ved at indføre en pligt for udbyderne af elektroniske kommunikationstjenester til at indsamle og lagre data, i det mindste i forhold til de medlemsstater, der ikke i forvejen havde bestemmelser på området. Denne forpligtelse indebærer bl.a. minimums- og maksimumsperioder, som data skal lagres i.

44.      Det bemærkes i denne henseende, at den omstændighed, at en række medlemsstater endnu ikke havde vedtaget bestemmelser om datalagring, udgjorde en af de væsentligste grunde til, at direktiv 2006/24 blev vedtaget på grundlag af artikel 95 EF (41).

45.      Direktiv 2006/24 foreskriver derfor i overensstemmelse med harmoniseringsmålsætningen en pligt for medlemsstaterne til enten at bringe den gældende ordning i overensstemmelse med bestemmelserne i direktiv 2006/24 eller på sigt at indføre den ordning for indsamling og lagring, der er fastsat ved direktiv 2006/24, samt under alle omstændigheder en pligt til at sikre overholdelsen af bestemmelserne i dette direktiv, navnlig de bestemmelser, der regulerer betingelserne og reglerne for at få adgang til de lagrede data.

46.      Sammenfattede må det konstateres, at direktiv 2006/24 er kendetegnet ved at have en dobbelt funktion. Der er for det første tale om et helt klassisk direktiv, der har til formål at harmonisere (42) nationale lovgivninger, der er forskellige (43) eller som risikerer at blive forskellige, og som er vedtaget af hensyn til at beskytte det indre markeds funktion og netop udfærdiget til dette formål, således som Domstolen fastslog i dommen i sagen Irland mod Parlamentet og Rådet. Der er endvidere for det andet tale om et direktiv, der uanset den harmoniserende virkning har til formål i de relevante tilfælde bl.a. at indføre (44) en pligt til at lagre data, der, som jeg vil redegøre for i det følgende, må anses for at udgøre væsentlige indgreb i de grundlæggende rettigheder, som unionsborgerne indrømmes ved chartret, navnlig retten til respekt for privatlivet og retten til beskyttelse af personoplysninger.

47.      Endelig er det klart, at det ved besvarelsen af de præjudicielle spørgsmål bl.a. skal tages hensyn til denne »anden funktion«, dvs. det, som jeg vil benævne som den »konstitutive« virkning af pligten til at lagre data, uden at der derved ses bort fra den særlige virkning, der består i at opnå harmonisering af de nationale lovgivninger på området.

2.      Den grundlæggende rettighed, der navnlig er berørt, og kvalificeringen af indgrebet

48.      Jeg vil dernæst allerede på dette trin i besvarelsen nævne spørgsmålet om kvalificeringen af det indgreb i udøvelsen af de grundlæggende rettigheder, der følger af den pligt til at indsamle og lagre data, der er fastsat i direktiv 2006/24, idet jeg mener, at der ikke kan herske tvivl om, at der faktisk foreligger et indgreb. Jeg vil først identificere den grundlæggende rettighed, der hovedsageligt påvirkes af direktiv 2006/24, og derefter vil jeg fastslå karakteren af det indgreb i udøvelsen af den nævnte rettighed, som direktivet udgør.

a)      De berørte grundlæggende rettigheder

i)      De forskellige påberåbte grundlæggende rettigheder

49.      High Court ønsker i sag C-293/12, ligesom Verfassungsgerichtshof i sag C-594/12, oplyst, om direktiv 2006/24 er foreneligt med en lang række grundlæggende rettigheder, herunder navnlig retten til respekt for privatlivet, som er sikret ved chartrets artikel 7, og retten til beskyttelse af personoplysninger, der er beskyttet i chartrets artikel 8, samt tillige retten til at ytre sig, der er beskyttet i chartrets artikel 11.

50.      High Court ønsker endvidere oplyst, om direktiv 2006/24 er foreneligt med artikel 21 TEUF, unionsborgernes ret til fri bevægelighed og opholdsret samt chartrets artikel 41, der fastsætter retten til god forvaltning.

51.      Det er i denne henseende muligt at foretage en indledende forenkling.

52.      Der kan ganske vist for det første ikke ses bort fra, at den vage følelse af at blive overvåget (45), som gennemførelsen af direktiv 2006/24 kan medføre, kan have afgørende indflydelse på den måde, hvorpå unionsborgerne udøver deres ytrings- og informationsfrihed, og at det derfor må fastslås, at der foreligger et indgreb i den rettighed, der er sikret ved chartrets artikel 11 (46). Det må imidlertid bemærkes, at ud over at Domstolen ikke råder over tilstrækkelige oplysninger, der kan gøre det muligt for den at foretage en prøvelse i denne henseende, udgør denne virkning kun en indirekte følge af, at der er sket et indgreb i retten til respekt for privatlivet, der er genstand for en meget grundig og detaljeret gennemgang nedenfor.

53.      High Court har endvidere ikke angivet nogen forklaring på, hvorfor den anser det for relevant at tage hensyn til artikel 21 TEUF (unionsborgernes opholdsret og ret til fri bevægelighed) og chartrets artikel 41 (ret til god forvaltning) ved vurderingen af gyldigheden af direktiv 2006/24, og heller ikke nogen redegørelse for, hvorledes det nævnte direktiv vil påvirke unionsborgernes frie bevægelighed eller princippet om god forvaltning i strid med de krav, der nu fremgår af artikel 94 i Domstolens procesreglement. Domstolen er derfor ikke i besiddelse af oplysninger, der gør det muligt at foretage en prøvelse i så henseende.

54.      Det skal derfor hovedsageligt undersøges, om direktiv 2006/24 er foreneligt med chartrets artikel 7 og 8.

ii)    Sammenhængen mellem retten til respekt for privatlivet og retten til beskyttelse af personoplysninger

55.      I henhold til chartrets artikel 8 udgør retten til beskyttelse af personoplysninger en særskilt rettighed i forhold til retten til respekt for privatlivet. Selv om beskyttelsen af personoplysninger tilsigter at sikre retten til respekt for privatlivet, er den underlagt en selvstændig ordning, der hovedsageligt udgøres af direktiv 95/46, direktiv 2002/58, forordning nr. 45/2001 og direktiv 2006/24 samt rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (47).

56.      Direktiv 2006/24 påvirker mærkbart retten til beskyttelse af personoplysninger, idet det nævnte direktivs artikel 5 fastsætter en forpligtelse for medlemsstaterne til at sikre, at der foretages lagring af data, der er eller kan være nødvendige for at identificere en person (48) eller kilden til en kommunikation eller dennes bestemmelsessted, samt for at bestemme, hvor den pågældende befinder sig på forskellige tidspunkter, enten i form af angivelse af den pågældendes telefonnummer eller brugeridentitet eller enhver anden entydig oplysning, der kan identificere den pågældende såsom en IP-adresse, der anvendes i forbindelse med internettjenester.

57.      Det fremgår endvidere udtrykkeligt af artikel 1, stk. 2, i direktiv 2006/24, at direktivet bl.a. finder anvendelse på data, der er nødvendige for at identificere de abonnenter eller de brugere, der er registrerede hos udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet. Disse data udgør således en del af de data, hvis videregivelse kræver udtrykkeligt samtykke fra hver enkelt registrerede, dvs. data, der er omfattet af den enkeltes »ret til selvbestemmelse« (49).

58.      Direktiv 2006/24 udgør umiddelbart et indgreb i retten til beskyttelse af personoplysninger, idet det nævnte direktiv klart falder ind under anvendelsesområdet for de bestemmelser, der fremgår af chartrets artikel 8, stk. 2 og 3. Det fremgår nemlig af direktivet, at både direktiv 95/46/EF, direktiv 2002/58/EF (50) og Europarådets konvention fra 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger finder fuldt ud anvendelse på de lagrede data (51).

59.      Det er imidlertid ikke behandlingen af de lagrede data, uanset om der er tale om, hvorledes udbydere af elektronisk kommunikationstjenester indsamler data, eller hvorledes de kompetente myndigheder, som medlemsstater har bemyndiget hertil, anvender disse data, der af de grunde, som jeg anfører nedenfor, giver anledning til at udvise den største forsigtighed, men selve indsamlingen og lagringen af de omhandlede data samt deres indvirkning på retten til respekt for privatlivet.

60.      Først og fremmest kan den omstændighed, at direktiv 2006/24 fuldt ud kan opfylde kravene i chartrets artikel 8, stk. 2 og 3, og at det anses for foreneligt med chartrets artikel 8, på ingen måde indebære, at det fuldt ud er foreneligt med de krav, der følger af retten til respekt for privatlivet, som er sikret ved chartrets artikel 7.

61.      Da den »private sfære« udgør kernen af den »personlige sfære«, kan det nemlig ikke udelukkes, at en bestemmelse, der begrænser retten til beskyttelse af personoplysninger i overensstemmelse med chartrets artikel 8, kan anses for at udgøre et uforholdsmæssigt indgreb i chartrets artikel 7.

62.      Det er korrekt, at retten til beskyttelse af personoplysninger udspringer af den grundlæggende ret til respekt for privatlivet (52), hvilket indebærer, som Domstolen allerede har haft lejlighed til at fastslå (53), at chartrets artikel 7 og 8 er så nært beslægtet (54), at de må anses for at skabe en »ret til respekt for privatliv med hensyn til behandling af personoplysninger« (55).

63.      Det forholder sig imidlertid ikke automatisk således. Den forbindelse, der består mellem de to rettigheder, afhænger hovedsageligt af karakteren af de berørte data, idet der altid er tale om personoplysninger, dvs. oplysninger, der vedrører den enkelte, individet.

64.      Der findes nemlig data, der som sådan vedrører en person, dvs. data, der individualiserer en person, såsom de oplysninger, der tidligere fremgik af en rejsetilladelse, blot for at give et eksempel. Der er tale om data, der ofte har en vis varig og tillige neutral karakter. Sådanne data er uden videre personlige, og det kan generelt anføres, at strukturen af og garantierne i chartrets artikel 8 bedst retter sig mod sådanne data.

65.      Der findes imidlertid data, der på sin vis er mere personlige. Der er tale om de data, der kvalitativt hovedsageligt vedrører privatlivet og hemmeligholdelse af privatlivet, herunder det intime liv. I sådanne tilfælde opstår de vanskeligheder, der er forbundet med personoplysninger, så at sige allerede »på et tidligere tidspunkt«. Den vanskelighed, der opstår, vedrører ikke den beskyttelse, der gælder ved behandlingen af sådanne oplysninger, men derimod oplysningerne som sådan før dette tidspunkt, dvs. den omstændighed, at forhold i en persons privatliv har antaget karakter af oplysninger, der følgelig kan undergives elektronisk behandling.

66.      Det er således muligt at gøre gældende, at sådanne data hovedsageligt giver anledning til vanskeligheder på et tidligere tidspunkt end selve behandlingen af disse data, og at de i først og fremmest er omfattet af bestemmelserne om privatlivets fred, der er sikret ved chartrets artikel 7, og kun i anden række af de garantier, der vedrører behandlingen af personoplysninger i chartrets artikel 8.

67.      Som det fremgår af det ovenstående, er det, når der foretages en korrekt »afgrænsning« mellem de grundlæggende rettigheder, der udgøres af retten til respekt for privatlivet (chartrets artikel 7) og retten til beskyttelse af personoplysninger (chartrets artikel 8), især i lyset af retten til respekt for privatlivet, at gyldigheden af direktiv 2006/24 skal vurderes.

b)      Et særlig alvorligt indgreb i retten til respekt for privatlivet

68.      For det første kan der næppe være tvivl om, at direktiv 2006/24 i sig selv udgør et »indgreb« i retten til respekt for privatlivet (56). Det fremgår af selve direktivet, at der er tale om et »instrument til lagring af data, der i overensstemmelse med kravene i artikel 8 i den europæiske menneskerettighedskonvention [eller i chartrets artikel 7] er […] en nødvendig foranstaltning« (57). Domstolen anvender i øvrigt dette udtryk om direktivet (58).

69.      Den Europæiske Menneskerettighedsdomstol har gentagne gange fastslået, at den lagring, som en offentlig myndighed foretager af oplysninger vedrørende en persons privatliv, udgør et indgreb i retten til respekt for den pågældendes ret til privatliv, der er sikret ved EMRK’s artikel 8, stk. 1 (59), idet det fremhæves, at selve anvendelsen af oplysningerne ikke er relevant (60).

70.      I dette forslag til afgørelse vil jeg forsøge at kvalificere dette indgreb. Som jeg vil redegøre mere detaljeret for i det følgende, er det i denne henseende muligt at hævde, at direktiv 2006/24 udgør et særlig alvorligt indgreb (61) i retten til respekt for privatlivet.

71.      Det fremgår ganske vist udtrykkeligt og gentagne gange (62) i direktiv 2006/24, at indholdet af den telefoniske og elektroniske kommunikation, dvs. selve den kommunikerede information, ikke er omfattet af anvendelsesområdet for direktiv 2006/24.

72.      Det forholder sig imidlertid ikke desto mindre således, at indsamling (63) og særligt lagring (64) i meget store databaser af store mængder data, der genereres eller behandles i forbindelse med størstedelen af unionsborgernes almindelige elektroniske kommunikation (65), udgør et alvorligt indgreb i privatlivet, selv om denne lagring kun skaber betingelser, der gør det muligt at foretage en efterfølgende kontrol af unionsborgernes såvel personlige som arbejdsmæssige aktiviteter. Indsamling af sådanne oplysninger skaber betingelserne for at foretage overvågning, der, selv om den kun foretages efterfølgende i forbindelse med udnyttelse af oplysningerne, dog udgør en konstant trussel under hele lagringsperioden mod unionsborgernes ret til at hemmeligholde deres privatliv. Den vage følelse af at blive overvåget (66), der opstår derved, gør spørgsmålet om varigheden af det tidsrum, i hvilket oplysningerne lagres, særlig relevant.

73.      Der skal i denne henseende for det første tages hensyn til den omstændighed, at virkningerne af indgrebet forstærkes af, at elektroniske kommunikationsmidler spiller en væsentlig rolle i det moderne samfund i form af både digitalt mobilnet og internet, og at en meget stor del af unionsborgerne i vidt omfang gør intensiv brug af sådanne kommunikationsmidler i forbindelse med deres private og arbejdsmæssige aktiviteter (67).

74.      Det bemærkes endvidere endnu en gang, at de omhandlede oplysninger ikke er personoplysninger i traditionel forstand, som vedrører punktuelle oplysninger om personers identitet, men nærmere kvalificerede personoplysninger, hvis udnyttelse gør det muligt nøjagtigt og udtømmende at kortlægge en stor del af en persons adfærd, der har en strengt privat karakter, eller et fuldstændig og nøjagtig billede af den pågældendes private identitet.

75.      Indgrebets intensitet forstærkes af forhold, der øger risikoen for, at de lagrede data til trods for de pligter, der påhviler medlemsstaterne og udbyderne af elektroniske kommunikationstjenester, bliver anvendt til ulovlige formål, der potentielt kan skade privatlivet, eller mere generelt til svigagtige eller ondsindede formål.

76.      De offentlige myndigheder lagrer nemlig ikke selv disse data og kontrollerer dem ikke direkte, men gennem udbyderne af de elektroniske kommunikationstjenester (68), som er underlagt de væsentligste forpligtelser i forhold til at sikre beskyttelsen af og sikkerheden omkring disse data.

77.      Direktiv 2006/24 pålægger (69) ganske vist medlemsstaterne at sikre, at data lagres i overensstemmelse med det nævnte direktiv. Det er imidlertid interessant at bemærke, at lagringen blot skal ske på en sådan måde, at de nævnte data og alle andre nødvendige oplysninger vedrørende disse data »kan fremsendes uden unødig forsinkelse til de kompetente myndigheder på disses anmodning«. Det fremgår endvidere af direktiv 2006/24, at medlemsstaterne skal sikre, at udbydere af elektroniske kommunikationstjenester som et minimum respekterer principperne for databeskyttelse og datasikkerhed vedrørende de lagrede data.

78.      Direktiv 2006/24 indeholder imidlertid ingen bestemmelser, der fastsætter en pligt for de nævnte tjenesteudbydere til selv at opbevare de data, der skal lagres inden for en medlemsstats område, og som er omfattet af en medlemsstats jurisdiktion, hvilket væsentligt øger risikoen for, at sådanne data kan tilgås eller udbredes i strid med direktivets bestemmelser.

79.      Den omstændighed, at oplysningerne lagres »eksternt«, gør det ganske vist muligt at opbevare de lagrede data andre steder end hos de offentlige myndigheder i medlemsstaterne og indebærer dermed, at disse myndigheder ikke direkte kan påvirke og kontrollere sådanne data (70), men derved forstærkes samtidig risikoen for, at data udnyttes i strid med de krav, der følger af retten til respekt for privatlivet.

80.      Direktiv 2006/24 udgør derfor, som det fremgår af det ovenstående, et særlig alvorligt indgreb i retten til respekt for privatlivet, og det er således i lyset af de krav, der følger af denne grundlæggende rettighed, at spørgsmålet om gyldigheden og forholdsmæssigheden af direktiv 2006/24 hovedsageligt skal vurderes.

3.      Rækkevidden af dommen i sagen Irland mod Parlamentet og Rådet for så vidt angår vurdering af gyldigheden af direktiv 2006/24

81.      På dette trin i de indledende bemærkninger står det endvidere tilbage at undersøge, hvilken betydning dommen i sagen Irland mod Parlamentet og Rådet har for besvarelsen af det dobbelte spørgsmål om gyldigheden af direktiv 2006/24, som er blevet forelagt Domstolen.

82.      Det bemærkes i denne henseende, at der for Domstolen i denne sag var anlagt et direkte søgsmål om annullation af direktiv 2006/24, inden for rammerne af hvilket det udelukkende blev gjort gældende, at direktiv 2006/24 var baseret på en forkert hjemmel. Domstolen fastslog således udtrykkeligt i dommens præmis 57, at »det af Irland anlagte søgsmål udelukkende vedrører valget af hjemmel og ikke en eventuel tilsidesættelse af grundlæggende rettigheder som følge af indgreb i nydelsen af retten til privatlivets fred, som direktiv 2006/24 indebærer«.

83.      Da de anmodninger om præjudicielle afgørelser, der er indgivet i de to sager, vedrører spørgsmålet om, hvorvidt bestemmelserne i direktiv 2006/24 er forholdsmæssige, dels i den forstand, som omhandles i artikel 5, stk. 4 (det første spørgsmål i sag C-293/12), dels i den forstand, som omhandles i chartrets artikel 52, stk. 1 (det andet spørgsmål i sag C-293/12 og det første spørgsmål i sag C-594/12), er det muligt at fortolke det af Domstolen opstillede forbehold på to måder, der kan supplere hinanden.

84.      Den første mulige fortolkning, som under alle omstændigheder må anses for den mest åbenbare, indebærer, at Domstolen, der var bundet af Irlands meget specifikke annullationspåstand, ikke havde grundlag for at undersøge, om direktiv 2006/24 var foreneligt med de grundlæggende rettigheder, der sikres ved chartret, nemlig hovedsageligt retten til respekt for privatlivet, der er beskyttet ved chartrets artikel 7. Domstolen fremhævede dette forhold i dommens præmis 57, og den fandt derfor anledning til at undersøge spørgsmålet om, hvorvidt kravene i chartrets artikel 52, stk. 1, var overholdt, navnlig kravene til lovgivningens kvalitet og forholdsmæssighed.

85.      Den anden fortolkning af Domstolens forbehold, som er langt mere vanskelig at undersøge, er, at Domstolen, til trods for, at den i dommen i sagen Irland mod Parlamentet og Rådet fastslog, at direktiv 2006/24 var baseret på den korrekte hjemmel, ikke undersøgte, om det nævnte direktiv var forholdsmæssigt som omhandlet i artikel 5, stk. 4, TEU i forhold til indgrebet i de grundlæggende rettigheder, således som High Court formelt ønsker oplyst med det første spørgsmål i sag C-293/12. Der er i det væsentlige tale om at undersøge, om det indgreb i retten til respekt for privatlivet, som direktiv 2006/24 udgør, er forholdsmæssigt i forhold til de mål, som forfølges med direktivet, i den ovennævnte bestemmelses forstand.

86.      Jeg vil begynde med at undersøge den problemstilling, der vedrører proportionalitetsprincippet som omhandlet i artikel 5, stk. 4, TEU, hvilket som anført kræver, at der foretages en undersøgelse af de muligheder, som den anden mulige fortolkning af præmis 57 i dommen i sagen Irland mod Parlamentet og Rådet giver. Jeg vil derefter på grundlag af den første fortolkning af den nævnte præmis, der ikke giver anledning til vanskeligheder, undersøge kernen i de spørgsmål, som de to nationale retter har forelagt, vedrørende betingelserne for at opstille begrænsninger for udøvelsen af grundlæggende rettigheder.

B –    Hvorvidt vedtagelsen af direktiv 2006/24 var forholdsmæssig som omhandlet i artikel 5, stk. 4, TEU (det første spørgsmål i sag C-293/12)

87.      High Court ønsker med det første spørgsmål i sag C-293/12 oplyst, om direktiv 2006/24 er forholdsmæssigt i den forstand, som omhandles i artikel 5, stk. 4, TEU, i forhold til de mål, som forfølges ved direktivet, dvs. enten målet om at sikre, at visse data er tilgængelige i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet, eller målet at sikre, at det indre marked fungerer efter hensigten, eller begge mål på en gang.

88.      Det er kun nødvendigt at besvare dette spørgsmål, såfremt det anerkendes, at Domstolen i dommen i sagen Irland mod Parlamentet og Rådet kun udtalte sig om, hvorvidt valget af artikel 95 EF som hjemmel var gyldigt, uden at tage stilling til spørgsmålet om, hvorvidt det nævnte direktiv i sig selv var forholdsmæssigt i lyset af de mål, som dette direktiv kan forfølge på grundlag af den nævnte hjemmel. Nedenstående betragtninger skal derfor anses for at være fremsat inden for rammerne af en fortolkning af dommen i sagen Irland mod Parlamentet og Rådet, der i sig selv kan give anledning til tvivl.

89.      Da High Courts anmodning om præjudiciel afgørelse rejser både spørgsmålet om forholdsmæssigheden af direktiv 2006/24, dvs. Unionens retsakt som sådan, i henhold til artikel 5, stk. 4, TUE, og spørgsmålet om forholdsmæssigheden af de begrænsninger, der er indført for udøvelsen af grundlæggende rettigheder i henhold til chartrets artikel 52, stk. 1, er det vigtigt at være opmærksom på, at den kontrol, der følger af de to nævnte bestemmelser, er forskellig (71). Proportionalitet som omhandlet i artikel 5, stk. 4, TEU, er et generelt princip, der sammen med subsidiaritetsprincippet gælder for Unionens handlinger, og som skal overholdes ved vedtagelsen af alle institutionernes retsakter. Det har navnlig til formål at styre EU’s indsats under overholdelse af medlemsstaternes kompetence. Proportionalitet som omhandlet i chartrets artikel 52, stk. 1, udgør en betingelse for legitimiteten af enhver begrænsning af udøvelsen af grundlæggende rettigheder. Selv om den kontrol, der foretages i henhold til de to nævnte bestemmelser, kan udføres på samme måde, foretages den derimod ikke med samme strenghed.

90.      Når dette er sagt, må det bemærkes, at på et område med delt kompetence såsom det indre marked (72) påhviler det EU-lovgiver at fastsætte de foranstaltninger, som den finder er nødvendige for at opnå de tilstræbte formål, med respekt af subsidiaritetsprincippet og proportionalitetsprincippet som omhandlet i artikel 5 TEU (73).

91.      Kommissionen har i det foreliggende tilfælde i overensstemmelse med artikel 5 i protokollen om anvendelse af nærhedsprincippet og proportionalitetsprincippet begrundet vedtagelsen af direktiv 2006/24 med henvisning til proportionalitetsprincippet, som det fremgår af Kommissionens forslag af 21. september 2005 (74).

92.      High Court ønsker imidlertid ikke oplyst, om Kommissionen i det foreliggende tilfælde har opfyldt sine forpligtelser, men om direktiv 2006/24 i sig selv er foreneligt med kravene i artikel 5, stk. 4, TEU.

93.      I henhold til Domstolens faste praksis kan en retsakt fra en institution kun anses for forholdsmæssig, såfremt de foranstaltninger, som iværksættes derved, er egnede til at nå det tilsigtede mål og ikke går ud over, hvad der er nødvendigt for at nå dette mål (75).

94.      Det præjudicielle spørgsmål, som High Court har forelagt i denne henseende, frembyder en særlig vanskelighed. Det, der skal undersøges i det foreliggende tilfælde, er nemlig spørgsmålet om, hvorvidt forholdsmæssigheden som omhandlet i artikel 5, stk. 4, TEU af de foranstaltninger, der er vedtaget ved direktiv 2006/24, skal vurderes i forhold til de to mål, som direktivet angiver at forfølge, nemlig harmonisering af de nationale lovgivninger med henblik på at sikre, at det indre marked fungerer efter hensigten, og at visse data er tilgængelige i forbindelse med strafferetlig forfølgning eller derimod kun i forhold til det eneste mål, der direkte vedrører den hjemmel, som det nævnte direktiv er baseret på.

95.      Der må i denne henseende sondres mellem direktivets hovedformål (76), nemlig det indre markeds funktion, og de endelige mål, som forfølges derved, og som kan kvalificeres på den ene eller den anden måde, men som dog på ingen måde udgør hovedformål. Der skal i første omgang nærmere bestemt foretages en undersøgelse af forholdsmæssigheden af direktiv 2006/24, for så vidt som udbydere af elektroniske kommunikationstjenester derved pålægges en pligt til at indsamle, lagre og tilvejebringe data, der har en »konstitutiv« virkning, i forhold til behovet for at harmonisere de nævnte forpligtelser.

96.      Det bemærkes i denne henseende for det første, at intensiteten af den prøvelse, som Domstolen foretager af hensigtsmæssigheden af en foranstaltning, der vedtaget af EU-lovgiver, er direkte forbundet med den skønsbeføjelse, som tilkommer EU-lovgiver (77). Domstolen har gentagne gange fastslået, at der inden for de områder, der for EU-lovgiver indebærer et valg af politisk, økonomisk og social karakter, og hvor der skal foretages komplekse vurderinger, ligesom inden for området for den fælles landbrugspolitik (78) og området for den fælles handelspolitik (79), må indrømmes EU-lovgiver et vidt skøn (80), og at domstolskontrollen af denne beføjelse derfor er begrænset. Det tilkommer ikke EU-lovgiver at afgøre, om den vedtagne foranstaltning var den eneste eller bedst mulige for at nå målet, men at undersøge, om foranstaltningen er baseret på objektive elementer (81) og ikke er åbenbart uhensigtsmæssig i forhold til det forfulgte mål (82).

97.      Det er i denne forbindelse ubestridt, at direktiv 2006/24 udgør et passende middel til at nå det første formelle mål, som forfølges ved direktivet, nemlig at sikre, at det indre marked fungerer tilfredsstillende. Det nævnte direktiv er uden tvivl udformet med henblik på at fjerne nuværende og fremtidige retlige og tekniske forskelle (83), mellem de nationale lovgivninger, der pålægger udbydere af elektroniske kommunikationstjenester en pligt til at lagre data.

98.      Det må i øvrigt anerkendes, at når der henses til institutionernes skønsbeføjelse, var den harmonisering, der blev opnået ved direktiv 2006/24, nødvendig for at mindske de retlige og tekniske forskelle mellem de krav, der stilles til udbydere af elektroniske kommunikationstjenester for så vidt angår de typer af data, der skal lagres, og for så vidt angår lagringsperioden og betingelserne for lagring (84).

99.      Det står endelig tilbage at undersøge, om direktiv 2006/24 kan anses for forholdsmæssig i ordets egentlige forstand.

100. På det sidste trin i undersøgelsen af, om direktiv 2006/24 er forholdsmæssigt som omhandlet i artikel 5, stk. 4, TEU, må det bemærkes, at der består et åbenbart misforhold mellem intensiteten på området for regulering af grundlæggende rettigheder, som det indgreb i retten til respekt for privatlivet, som medlemsstaterne i medfør af direktiv 2006/24 pålægges, og det formål om at sikre behovet for et velfungerende indre marked, som direktivet hovedsageligt forfølger (85), og som udgør den begrundelse, der ligger til grund for vedtagelsen af det nævnte direktiv med hjemmel i artikel 95 EF. I denne forbindelse kan den betydning, som direktiv 2006/24 som følge af sin konstitutive virkning har på medlemsstaternes regelfastsættende virksomhed og sikring af indholdet af de grundlæggende rettigheder, ikke undervurderes.

101. Som jeg allerede har nævnt ovenfor, har direktiv 2006/24 indført en pligt til at indsamle og lagre data for udbydere af elektroniske kommunikationstjenester, der som en undtagelse til de principper, der fremgår af direktiv 95/46 og direktiv 2002/58, bl.a. udgør et alvorligt indgreb i retten til respekt for privatlivet samtidig med, at det overlades til medlemsstaterne effektivt at sikre overholdelsen af de grundlæggende rettigheder.

102. Det alvorlige indgreb i retten til respekt for privatlivet, som medlemsstaterne som følge af den konstitutive virkning af direktiv 2006/24 har pligt til at gennemføre i deres nationale retsorden, synes således ikke at stå i rimeligt forhold til den blotte nødvendighed af at sikre et velfungerende indre marked, selv om det i øvrigt må bemærkes, at indsamling og lagring udgør passeende og endog nødvendige midler til at opnå det endelige mål, som forfølges ved det nævnte direktiv, og som har til formål at sikre, at de nævnte data er tilgængelige i forbindelse med retsforfølgning af grov kriminalitet. Sammenfattende må det konstateres, at direktiv 2006/24 ikke består proportionalitetstesten af de selvsamme grunde som dem, der ligger til grund for valget af hjemmel. Den begrundelse, der berettiger valget af hjemmel, er paradoksalt nok en begrundelse, der indebærer, at direktivet ikke kan anses for forholdsmæssigt.

103. Spørgsmålet er imidlertid ikke helt så enkelt, idet der må tages hensyn til den omstændighed, at et »hovedformål« ikke kan sidestilles med et »enkeltstående« formål, selv om det nævnte hovedformål har spillet en afgørende rolle ved fastlæggelsen af den korrekte hjemmel. Det må ud fra dette synspunkt anerkendes, at der findes et område, inden for hvilket der i forbindelse med vurderingen af, om direktiv 2006/24 er forholdsmæssigt som omhandlet i artikel 5, stk. 4, TEU, kan tages hensyn til det endelige mål, der består i bekæmpelse af alvorlig kriminalitet, som forfølges ved direktivet. På denne baggrund kan det uden vanskeligheder anerkendes, at direktiv 2006/24 som en EU-retsakt, såfremt der ses bort fra undersøgelsen af, om det nævnte direktiv er forholdsmæssigt som omhandlet i chartrets artikel 52, stk. 1, kan bestå proportionalitetstesten i netop den forstand, som omhandles i artikel 5, stk. 4, TUE og anses for passende, nødvendig og endog forholdsmæssig i egentlig forstand.

104. Det spørgsmål, der står tilbage, er, om de proportionalitetsproblemer i egentlig forstand, som berører en EU-retsakt, når der henses til det hovedformål, som retsakten forfølger, kan afhjælpes ved at tage hensyn til et »underliggende« formål. Dette spørgsmål er så meget desto mere vanskeligt at løse, idet det optræder i en sammenhæng, hvori hjemmelen for den omhandlede retsakt netop er blevet anset for korrekt under hensyn til retsaktens hovedformål.

105. Da direktiv 2006/24 tillige som retsakt, der indebærer en begrænsning af udøvelsen af de grundlæggende rettigheder, skal underkastes en proportionalitetsvurdering i henhold til chartrets artikel 52, stk. 1, finder jeg det ikke nødvendigt at give en endelig besvarelse af dette spørgsmål inden for rammerne af de foreliggende sager.

C –    De krav, der følger af chartrets artikel 52, stk. 1 (det andet spørgsmål i sag C-293/12 og det første spørgsmål i sag C-594/12)

106. Som jeg allerede har anført ovenfor, indføres der med direktiv 2006/24, der harmoniserer de bestemmelser, som medlemsstaterne har vedtaget inden for rammerne af, hvad der forekommer at være en mulighed i henhold til artikel 15, stk. 1, i direktiv 2002/58, en ordning, som delvist indebærer en undtagelse til de principper, der fremgår af direktiv 2002/58 og direktiv 95/46, og som sikrer retten til beskyttelse af personoplysninger og mere generelt retten til respekt for privatlivet.

107. Det indgreb i retten til respekt for privatlivet, som direktiv 2006/24 indebærer, kan mere generelt kun accepteres, såfremt betingelserne i chartrets artikel 52, stk. 1, er opfyldt, dvs. at indgrebet er »fastlagt i lovgivningen« og nærmere bestemt opfylder kravene til lovgivningens kvalitet, respekterer den nævnte rettigheds væsentligste indhold og er forholdsmæssig, dvs. at indgrebet er nødvendigt og faktisk opfylder mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder eller friheder.

1.      Lovgivningens kvalitet

108. Det er i det foreliggende tilfælde næppe nødvendigt at bemærke, at eftersom direktiv 2006/24 indeholder bestemmelser om indsamling og lagring af data med henblik på at sikre, at der er adgang til disse data, må det indgreb i retten til respekt for privatlivet, som dette direktiv indebærer, formelt anses for at være fastlagt i lovgivningen i den forstand, hvori dette udtryk er anvendt i chartrets artikel 52, stk. 1.

109. Når dette er sagt, må den forståelse, som Domstolen anlægger af udtrykket »fastlagt i lovgivningen« i henhold til chartrets artikel 52, stk. 3, ligge tæt på den forståelse, som Den Europæiske Menneskerettighedsdomstol anlægger, dvs. at der er tale om en betingelse, der går videre end et rent formelt krav for fastlæggelsen af lovgivningens manglende klarhed (»lovgivningens kvalitet«) (86), for nu at udtrykke det så enkelt som muligt (87).

110. Det er korrekt, at en sådan vurdering lige så vel kunne foretages inden for rammerne af en udførlig analyse af, om begrænsningen er forholdsmæssig (88). For at sikre overensstemmelse med den tilgang, som Den Europæiske Menneskerettighedsdomstol har anlagt, er det imidlertid min opfattelse, at den første mulighed bør vælges.

111. Når kravet om, at enhver begrænsning skal være fastlagt i lovgivningen, opfattes som et mere end formelt krav, opstår spørgsmålet, om de begrænsninger i udøvelsen af de grundlæggende rettigheder, som direktiv 2006/24 indebærer, ledsages af tilstrækkelige garantier, som skal opstilles, når der træffes bestemmelse om sådanne begrænsninger.

112. Artikel 4 i direktiv 2006/24 bestemmer, at medlemsstaterne har pligt til at træffe foranstaltninger til at sikre, at lagrede data kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Det fremgår af andet punktum, at »[h]ver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig den europæiske menneskerettighedskonvention, således som den er fortolket af Den Europæiske Menneskerettighedsdomstol«.

113. Jeg vil på ny gentage, at den vanskelighed, som direktiv 2006/24 giver anledning til, er, at der er tale om et direktiv, som kun har til formål at indføre en pligt for udbydere af elektroniske kommunikationstjenester til at indsamle og lagre trafik- og lokaliseringsdata, og ikke de garantier, der skal regulere adgangen til og udnyttelsen af de nævnte lagrede data. Som nævnt overlader direktiv 2006/24 generelt dette til medlemsstaterne (89).

114. Det spørgsmål, der således opstår, er helt enkelt, om det for at opfylde kravet om, at enhver begrænsning skal være »fastlagt i lovgivningen«, er tilstrækkeligt at foretage en sådan generel overgivelse til medlemsstaterne, uanset om der tillige måtte være anført en udtrykkelig henvisning til de rettigheder, der er sikret ved direktiv 95/46 og direktiv 2002/58.

115. Det er i denne henseende vigtigt for det første at bemærke, at den situation, hvor Unionen begrænser sig til at vedtage lovgivningen gennem en harmonisering af bestemmelser, som gennemføres på forskellig måde af størstedelen af medlemsstaterne, ikke kan sammenlignes med den situation, hvor Unionen efterfølgende beslutter, at en sådan lovgivning skal finde generel anvendelse.

116. I den første situation kan Unionen anvende den fremgangsmåde, som den har anvendt i forbindelse med direktiv 2002/58, dvs. at overlade det til de nationale lovgivere at sikre, at de bestemmelser, der vedtages på deres eget initiativ, og som indebærer en begrænsning af grundlæggende rettigheder, indeholder samtlige de garantier, der er nødvendige for, at disse begrænsninger og anvendelsen heraf (»adgang«) opfylder samtlige krav til lovgivningens kvalitet og proportionalitetsprincippet.

117. I den anden situation, hvor begrænsningen af de grundlæggende rettigheder derimod følger af EU-lovgivningen, og hvor ansvaret for denne lovgivning derfor må tilregnes Unionen, har det ansvar, der påhviler Unionen, en helt anden karakter. Når der er tale om et direktiv, er det klart, at det påhviler medlemsstaterne at fastlægge de garantier, der skal opstille en ramme for begrænsningen af de grundlæggende rettigheder i en sag som den foreliggende. Det er imidlertid tillige klart, at EU-lovgiver spiller en ledende rolle ved fastlæggelsen af selve definitionen af de nævnte garantier. Det er på denne baggrund, at det skal undersøges, om kravet til lovgivningens kvalitet er opfyldt.

118. Overgangen fra en fakultativ ordning som den, der er indført i henhold til artikel 15 i direktiv 2002/58, til en ordning, der skal indføres inden en bestemt frist, som den, der er indført med direktiv 2006/24, burde have været ledsaget af en tilsvarende tilpasning af garantierne og burde således have givet EU-lovgiver anledning til at opstille en generel ramme for den meget vide beføjelse, der er tildelt medlemsstaterne i spørgsmålet om at sikre adgang til data og udnyttelse heraf ved at vedtage præciseringer i form af principper.

119. Det er nemlig i denne henseende vigtigt for det første at bemærke, at det fremgår af både direktiv 95/46 og direktiv 2002/58, at de foranstaltninger, der vedtages med henblik på at indskrænke de garanterede rettigheder, som medlemsstaterne kan vedtage, skal have karakter af retsforskrifter (90). Direktiv 2006/24 indeholder imidlertid kun en marginal omtale af dette formelle krav (91), hvilket indebærer en svækkelse af de garantier, der er fastsat ved de direktiver, som direktiv 2006/24 udgør en undtagelse til (92).

120. EU-lovgiver kan nemlig, når den vedtager en retsakt, der indfører forpligtelser, som udgør alvorlige indgreb i unionsborgernes grundlæggende rettigheder, ikke fuldstændigt overlade det til medlemsstaterne at fastlægge de garantier, der skal begrunde retsakten. EU-lovgiver kan ikke nøjes med blot at overlade det til de lovgivende myndigheder og/eller de kompetente administrative myndigheder i medlemsstaterne, der i givet fald skal vedtage nationale gennemførelsesbestemmelser til en sådan retsakt, at fastlægge disse garantier, eller fuldstændigt at overlade denne opgave til de retlige myndigheder, der har ansvaret for at prøve retsaktens konkrete anvendelse. EU-lovgiver må fuldt ud påtage sig sin del af ansvaret ved i det mindste at fastlægge de principper, der skal ligge til grund for definitionen, indførelsen og anvendelsen af disse garantier samt kontrollen med, at de bliver overholdt, da der i modsat fald vil være risiko for, at chartrets artikel 51, stk. 1, mister sin betydning.

121. Det er blevet nævnt flere gange, at direktiv 2006/24, som det fremgår af dette direktivs artikel 4 (93), ikke regulerer adgangen (94) til de lagrede og indsamlede data eller udnyttelsen heraf, idet dette forhold ikke kan reguleres ved et direktiv som følge af kompetencefordelingen mellem medlemsstaterne og Unionen (95). Det spørgsmål, der i den forbindelse opstår, er imidlertid netop, om Unionen kan (96) fastsætte en foranstaltning i form af en vedvarende pligt til at indsamle og lagre de omhandlede data uden samtidig at opstille garantier i forbindelse med de betingelser, der skal gælde for adgangen til og udnyttelsen af disse data, i det mindste i form af principper. Det er netop disse garantier i forbindelse med betingelserne for at få adgang til og udnytte de indsamlede og lagrede data, der gør det muligt at vurdere, hvad dette indgreb reelt indebærer, og som derfor er bestemmende for, om indgrebet er forfatningsmæssigt acceptabelt eller ej.

122. Der består nemlig et tæt forhold mellem det faktiske indhold af pligten til at indsamle og lagre data, og de betingelser, hvorunder de nævnte data i givet fald kan gøres tilgængelige for og udnyttes af de kompetente nationale myndigheder. Det må endvidere bemærkes, at det uden kendskab til, hvorledes denne adgang og udnyttelse skal udøves, reelt ikke er muligt at foretage en vurdering på baggrund af det indgreb, som den omhandlede indsamling og lagring indebærer.

123. Under hensyn til den omstændighed, at hjemmelen for direktiv 2006/24 er at sikre, at det indre marked fungerer efter hensigten, og at samtlige regler for adgangen til data og udnyttelsen heraf ikke kunne inkorporeres i direktivets bestemmelser, må den konstitutive virkning af pligten til at indsamle og lagre, som fremgår af direktivet, indebære, at der til direktivet er knyttet en række principielle garantier som et nødvendigt og afgørende supplement. Det er i denne henseende ikke tilstrækkeligt generelt at overlade dette til medlemsstaterne, og den beskyttelsesordning, der er indført ved direktiv 95/46 (97) eller rammeafgørelse 2008/977 (98) gør det ikke muligt at afhjælpe denne fejl, idet disse ikke finder anvendelse.

124. Selv om den sondring, som generaladvokat Bot har foretaget i sit forslag til afgørelse i sagen Irland mod Parlamentet og Rådet, anerkendes, og selv om jeg er enig i hans synspunkt om, at det i det mindste på daværende tidspunkt var vanskeligt at inkorporere garantierne vedrørende adgangen til de lagrede data, er der imidlertid intet til hinder for, at EU-lovgiver i forbindelse med fastlæggelsen af pligten til at indsamle og lagre data opstiller en række garantier i det mindste i form af principper, som medlemsstaterne nærmere skal fastsætte med det formål at opstille rammer for udnyttelsen af disse data og derved fastlægge det nøjagtige indhold og det fuldstændige billede af det indgreb, som pligten indebærer.

125. Det påhvilede således EU-lovgiver at fastsætte de grundlæggende principper, der skulle anvendes ved fastlæggelsen af de minimumsgarantier, som skulle gælde for adgangen til og udnyttelse af de indsamlede og lagrede data, hvoriblandt kan nævnes følgende principper, uden at opregningen skal anses for udtømmende.

126. Hvad angår indgrebets intensitet påhvilede det EU-lovgiver at præcisere beskrivelsen af de kriminelle aktiviteter, der kan begrunde, at de kompetente nationale myndigheder får adgang til de indsamlede og lagrede data, ved at anvende udtryk, der langt mere præcise end udtrykkene »alvorlige forbrydelser« og »grov kriminalitet« (99).

127. EU-lovgiver burde have opstillet retningslinjer for den lovgivning, hvorved medlemsstaterne indfører bestemmelser om muligheden for at få adgang til de indsamlede og lagrede data, ved at begrænse denne adgang, om ikke til kun at gælde for retlige myndigheder (100), da i det mindste til uafhængige myndigheder, eller i mangel heraf at underlægge enhver anmodning om adgang retlige eller uafhængige myndigheders kontrol. EU-lovgiver burde endvidere have opstillet et krav om en konkret og individuel behandling af hver enkelt anmodning om adgang for at begrænse de kommunikerede data til et absolut minimum.

128. Det kunne endvidere forventes, at EU-lovgiver som princip ville give medlemsstaterne mulighed for at fastsætte undtagelser til adgangen til de lagrede data i visse særlige tilfælde eller skærpede betingelser for adgangen til data i de tilfælde, hvor en sådan adgang ville kunne udgøre et indgreb i de grundlæggende rettigheder, der er sikret ved chartret, som det er tilfældet med den lægelige tavshedspligt.

129. EU-lovgiver burde have opstillet et princip om, at de myndigheder, der får adgang til data, har pligt til dels at slette disse data, når de ikke længere tjener et formål, dels at de berørte personer underrettes om, at de nævnte myndigheder har fået adgang til disse data, i det mindste på et senere tidspunkt, når der ikke længere består en risiko for, at disse oplysninger kan skade den effektive virkning af de foranstaltninger, der ligger til grund for udnyttelse af de nævnte data.

130. Nødvendigheden af de forskellige garantier, der er opregnet på en ikke-udtømmende måde, bestyrkes således af den omstændighed, at EU-lovgiver efter vedtagelsen af direktiv 2006/24 vedtog rammeafgørelse 2008/977, der skal sikre beskyttelsen af personoplysninger i forbindelse med politisamarbejde og retlige samarbejde i kriminalsager ved netop at indføre denne form for garantier, når der er tale om videregivelse af oplysninger mellem medlemsstater. De forhold, som ikke vedrører udveksling af oplysninger mellem medlemsstater, er nemlig udelukket fra anvendelsesområdet for rammeafgørelse 2008/977, som det bl.a. anføres i niende betragtning til rammeafgørelse 2008/977 (101).

131. Sammenfattende må det bemærkes, at direktiv 2006/24 i sin helhed er uforeneligt med chartrets artikel 52, stk. 1, idet den pligt til datalagring, som fastsættes i direktivet, begrænser udøvelsen af de grundlæggende rettigheder, uden at der er opstillet principper for de garantier, der er nødvendige for at regulere adgangen til og udnyttelsen af de nævnte data.

132. Det må endvidere i denne henseende bemærkes, at den omstændighed, at medlemsstaterne ofte på eget initiativ og som følge af kravene i deres nationale lovgivninger har vedtaget garantier, som ikke fremgår af direktiv 2006/24 (102), er ganske vist en omstændighed, der skal tages i betragtning, som det vil fremgå af nedenstående, men denne omstændighed kan på ingen måde friholde EU-lovgiver.

2.      Forholdsmæssighed i den forstand som omhandles i chartrets artikel 52, stk. 1

133. Det fremgår ikke blot af chartrets artikel 52, stk. 1, at enhver begrænsning i udøvelsen af de grundlæggende rettigheder skal være »fastlagt i lovgivningen«, men også at en sådan begrænsning skal ske under streng iagttagelse af proportionalitetsprincippet. Som allerede nævnt antager dette proportionalitetskrav inden for chartrets rammer en særlig karakter, som det ikke har inden for rammerne af artikel 5, stk. 4, TEU. Det, der i denne sammenhæng henvises til, er nemlig ikke proportionalitet som et princip, der generelt gælder for Unionens handlinger, men mere specifikt proportionalitet som en grundlæggende betingelse for at indføre en begrænsning af de grundlæggende rettigheder.

134. På denne baggrund kan Unionens institutioner kun forfølge det formål, der fremgår af direktiv 2006/24, nemlig at sikre, at der er adgang til de lagrede data i forbindelse med retsforfølgning af grov kriminalitet, såfremt formålet er foreneligt med bl.a. respekten for privatlivet (103).

135. Det må i denne henseende konstateres, at når der henses til de krav, der undersøges herunder, og hvorefter »lovgivningen« i det mindste i form af principper og tilstrækkelige garantier omfatter adgangen til og udnyttelsen af data for udbydere af elektroniske kommunikationstjenester, indebærer det krav om, at selve datalagringen skal være forholdsmæssig, der følger af direktiv 2006/24, med en enkelt undtagelse ikke, at der skal foretages en mere detaljeret undersøgelse end den, der fremgår af det følgende.

136. Direktiv 2006/24 forfølger nemlig et fuldstændig lovligt formål, nemlig at sikre, at der er adgang til de indsamlede og lagrede data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet, og kan, når der henses til den begrænsede prøvelse, som Domstolen kan foretage i denne henseende, anses for passende og tillige under hensyn til de garantier, som direktivet skal indeholde, nødvendig for gennemførelsen af det endelige mål (104). Det er disse garantier, der navnlig kan begrunde den liste over kategorier af de data, der skal lagres i henhold til artikel 5 i direktiv 2006/24, der bestemt er meget omfattende.

137. Den omstændighed, at det er muligt at omgå direktiv 2006/24 ved at anvende bestemte kommunikationsformer, indebærer dog ubestrideligt en væsentlig begrænsning af selve virkningen af ordningen for indsamling og lagring af trafik- og lokaliseringsdata, der indføres ved direktivet, navnlig hvad angår organiseret kriminalitet og terrorisme. Direktiv 2006/24 gør det imidlertid ikke muligt at fastslå, at indsamlingen og lagringen af data i sig selv er fuldstændig uegnet til at gennemføre de forfulgte formål. Direktiv 2006/24 gør det endnu mindre muligt for Domstolen at fastslå, at indsamlingen og lagringen af data i forbindelse med almindelig elektronisk kommunikationstjenester åbenbart ikke tjener noget formål.

138. Hvad imidlertid angår spørgsmålet om, hvorvidt foranstaltningen er nødvendig, må betydningen af artikel 14 i direktiv 2006/24 fremhæves, idet denne bestemmelse foreskriver en pligt for Kommissionen til at udfærdige en (105) rapport (106) om direktivets anvendelse bl.a. under hensyntagen til de statistiske oplysninger, som medlemsstaterne udfærdiger i henhold til direktivets artikel 10, og til på denne baggrund at foreslå de ændringer, der måtte være nødvendige i givet fald, særlig for så vidt angår listen over de kategorier af data, der skal indsamles og lagres, samt lagringsperiodens varighed.

139. Da direktiv 2006/24 ikke indeholder bortfaldsbestemmelser (»sunset clause«), påhviler det EU-lovgiver jævnligt at foretage en revurdering af de omstændigheder, der har begrundet de alvorlig begrænsninger i udøvelsen af retten til respekt for privatlivet, som direktivet indebærer, således at EU-lovgiver har mulighed for at vurdere, om de nævnte omstændigheder fortsat foreligger, og at ændre eller helt ophæve den nævnte begrænsning som følge heraf.

140. Når dette er sagt, vedrører den undtagelse, som jeg netop har nævnt, forholdsmæssigheden af artikel 6 i direktiv 2006/24, som fastsætter varigheden af den periode, hvori de indsamlede data skal lagres.

141. Artikel 6 i direktiv 2006/24 fastsætter et af de grundlæggende elementer ved datalageringen, som direktivet harmoniserer eller i givet fald indfører bestemmelse om, nemlig lagringens tidsmæssige udstrækning. Samtlige de lagrede data skal således i princippet slettes løbende, idet det bemærkes, at det ikke kan forholde sig på andre måder. I modsætning til det princip, der fremgår af direktiv 2002/58, hvis artikel 6, stk. 1, foreskriver, at trafikdata, der behandles eller lagres, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen (107), opstår pligten til at sikre, at disse oplysninger slettes, imidlertid ikke omgående, men først efter, at der er forløbet et bestemt tidsrum. Medlemsstaterne har pligt til at sikre, at de indsamlede data lagres i et tidsrum, der ikke må være mindre end seks måneder, og som med forbehold af undtagelsen i artikel 12 i direktiv 2006/24 ikke må være længere end to år, hvorved det tilkommer de nationale lovgivere nærmere at fastsætte den konkrete varighed.

142.  Med denne bestemmelse får den datalagring (»data retention«), der er genstand for denne fremstilling, en tidsmæssig kontinuitet, der på afgørende måde bidrager til at kvalificere det indgreb i retten til respekt for privatlivet, som direktivet 2006/24 indebærer, navnlig som modsætning til det indgreb, der opstår ved den efterfølgende datalagring (»data preservation«), der også kaldes »quick freeze« (108). Det synspunkt, at opbevaringen af de omhandlede data ikke afbrydes i en bestemt periode, er et af de grundlæggende elementer i en foranstaltning, hvis formål er at give de offentlige myndigheder en større mulighed for at reagere over for visse former for alvorlig kriminalitet. Spørgsmålet er imidlertid, om indholdet af artikel 6 i direktiv 2006/24, der foreskriver en minimumsperiode på seks måneder og en maksimumsperiode på to år, på en passende måde opfylder de krav, som følger af proportionalitetsprincippet.

143. Når det er fastslået, at foranstaltningen i sig selv er lovlig og passende, står det i denne henseende tilbage at vurdere, om foranstaltningen er nødvendig, og konkret at undersøge, om en foranstaltning, der udgør et mindre indgreb i nydelsen af de omhandlede grundlæggende rettigheder, gør det muligt at nå det forfulgte mål. Jeg vil i denne henseende fremhæve, at det ikke er tilstrækkeligt at konstatere, at det er medlemsstaterne, der alene har ansvaret for eventuelt at fastsætte lagringsperiodens varighed til op til to år. Eftersom direktiv 2006/24 har et harmoniseringsformål og fastsætter den maksimale lagringsperiode til to år, skal denne bestemmelse i sig selv undergives proportionalitetskontrol. Det er i denne henseende næppe nødvendigt at bemærke, at spørgsmålet ikke er, om en længere periode for lagring og tilgængeliggørelse ud fra hensynet om at bekæmpe alvorlig kriminalitet er at foretrække frem for en kortere periode, men om foranstaltningen på baggrund af en undersøgelse af foranstaltningens forholdsmæssighed konkret er nødvendig.

144. Det bemærkes i denne henseende først og fremmest, at opbevaring af data på et ubestemt sted i cyberspace som i det foreliggende tilfælde, der vedrører bestemte enkeltpersoner, må betragtes som en anomali, uanset hvor længe opbevaringen varer. En sådan »lagring« af data, der vedrører privatlivet, også selv om der kun er tale om sådanne data, må i princippet aldrig forekomme, og såfremt det forekommer, bør dette kun ske af andre tvingende hensyn, der vedrører det sociale liv. En sådan situation kan kun have undtagelsens karakter og kan som sådan ikke vare længere end nødvendigt.

145. Varigheden af den lagring, der må anses for acceptabel i lyset af proportionalitetsprincippet, kan ikke fastlægges, uden at der tillægges lovgiver en vis skønsbeføjelse. Dette indebærer imidlertid ikke, at det er udelukket at foretage selv den mindste proportionalitetskontrol på dette punkt.

146. Jeg finder det i denne henseende nyttigt at bemærke, at et menneske lever i en periode, der pr. definition er begrænset, og at denne periode omfatter både fortiden, dvs. den pågældendes egen historie og erindringer, og nutiden, dvs. gennemlevede oplevelser og bevidstheden om de begivenheder, som den pågældende gennemlever (109). Selv om den er vanskelig at fastlægge, adskilles fortid og nutid af en grænse, der med sikkerhed ikke er den samme for hver enkelt person. Det synes imidlertid ikke at give anledning til tvivl, at det er muligt at sondre mellem opfattelsen af nutiden og opfattelsen af fortiden. Inden for hver af disse opfattelser kan den enkelte have en bevidsthed om sit eget liv, i høj grad »privatlivet«, men også det »registrerede« liv. Det er endvidere forskel på, om dette »registrerede liv« opfattes som nutid eller fortid.

147. Det er min opfattelse, at disse betragtninger kan anvendes ved analysen af, om artikel 6 i direktiv 2006/24 er forholdsmæssig. Eftersom princippet om, at enhver form for personlig dokumentation skal lagres i en bestemt periode, må anses for lovlig, står det tilbage at undersøge, om det er uundgåeligt, dvs. nødvendigt, at borgerne skal tåle en sådan lagring i en periode, der ikke kun vedrører »nutiden«, men også »fortiden«.

148. Efter min opfattelse – og jeg er fuldstændig klar over den risiko for subjektivitet, som en sådan opfattelse indebærer – adskiller lagring af personoplysninger i en periode, der »opgøres i måneder«, sig fra en periode, der »opgøres i år«. Den første periode vedrører den periode, der opfattes som nutid, og den anden periode vedrører den periode, der opfattes som fortid. Indgrebet i retten til respekt for privatlivet er på denne baggrund i hvert tilfælde forskellig, og nødvendigheden af at foretage et indgreb skal i hvert enkelt tilfælde begrundes.

149. Selv om der foreligger tilstrækkelig grunde til at foretage indgreb i nutiden, kan jeg ikke finde nogen begrundelse for, at der bør kunne foretages indgreb i fortiden. Jeg har med andre ord og uden at det skal benægtes, at visse kriminelle aktiviteter forberedes lang tid i forvejen, blandt de forskellige synspunkter, der er fremført til støtte for, at artikel 6 i direktiv 2006/24 er forholdsmæssig, ikke fundet nogen tilstrækkelig begrundelse for, at den lagringsperiode, som medlemsstaterne fastsætter, skal udgøre en periode på mere end et år. Med andre ord og med de forbehold, som denne proportionalitetskontrol altid tilsiger, er der ikke fremsat noget argument, som kan overbevise mig om, at det er nødvendigt at udstrække datalagringen ud over et år.

150. Endelig skal det endvidere bemærkes, at direktiv 2006/24 i sig selv indeholder et supplerende argument i forbindelse med den mulighed for forlængelse af den længste periode for datalagring, som direktivet indeholder. Det nævnte direktivs artikel 12 giver nemlig de medlemsstater, der står over for særlige omstændigheder, der ikke er nærmere defineret, mulighed for at forlænge den længste lagringsperiode, der er fastsat i henhold til direktivets artikel 6. En sådan forlængelse er imidlertid kun mulig for en begrænset periode, den skal være begrundet og meddelt til Kommissionen, der inden seks måneder skal tage stilling til de påtænkte nationale foranstaltninger, dvs. undersøge, om de udgør et middel til vilkårlig forskelsbehandling eller en skjult begrænsning af samhandelen mellem medlemsstaterne, eller om de udgør en hindring for det indre markeds funktion.

151. Eftersom Kommissionen i henhold til artikel 12, stk. 2, i direktiv 2006/24 kun kan forkaste disse foranstaltninger af begrænsede grunde, bekræfter eksistensen af denne forlængelsesmulighed mit synspunkt om, at det ikke er nødvendigt, at der i det nævnte direktivs artikel 6 fastsættes en længste datalagringsperiode, som kan vare op til to år, uden at der foreligger særlige omstændigheder, og at denne længste lagringsperiode må anses for uforenelig med de krav, der følger af chartrets artikel 7 og artikel 52, stk. 1.

152. Det følger heraf, at artikel 6 i direktiv 2006/24 ikke er forenelig med artikel 7 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som medlemsstaterne derved pålægges at sikre, at de data, der er nævnt i direktivets artikel 5, lagres i en periode på op til to år.

D –    Det tredje spørgsmål i sag C-293/12

153. Henset til besvarelsen af de to første grupper af spørgsmål fra de forelæggende retter vedrørende gyldigheden af direktiv 2006/24 forekommer det ikke nødvendigt at besvare det tredje præjudicielle spørgsmål, som High Court har forelagt i sag C-293/12, om, hvorvidt det påhviler de nationale retter at undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af et direktiv er forenelige med den beskyttelse, der ydes med chartret. For fuldstændighedens skyld mener jeg imidlertid, hvilket også er anført af samtlige de parter, der har fremsat bemærkninger på dette punkt, at det er åbenbart, at dette spørgsmål skal besvares bekræftende, når der henses til indholdet af chartrets artikel 51, stk. 1, og de rammer, der deri opstilles (110).

VI – De tidsmæssige virkninger af den fastslåede ugyldighed

154. Henset til den konklusion, som de ovenstående betragtninger giver mig anledning til at drage, står det tilbage at undersøge de tidsmæssige virkninger af, at direktiv 2006/24 må anses for ugyldigt.

155. Det bemærkes i denne henseende, at når Domstolen inden for rammerne af en procedure i henhold til artikel 267 TEUF konstaterer, at en retsakt, der er vedtaget af en EU-institutionen, er ugyldig, er det en retsvirkning af denne afgørelse, at det påhviler EU-institutionen at træffe de til afhjælpning af den konstaterede ulovlighed nødvendige foranstaltninger, idet den i artikel 266 TEUF fastsatte forpligtelse, der gælder i tilfælde af en dom om annullation, anvendes analogt i lignende tilfælde (111).

156. Når tvingende retssikkerhedsmæssige hensyn begrunder det, har Domstolen imidlertid i medfør af artikel 264, stk. 2, TEUF, der finder analog anvendelse i forbindelse med en præjudiciel forelæggelse i medfør af artikel 267 TEUF vedrørende gyldigheden af retsakter fra Unionens institutioner, et skøn med hensyn til at afgøre i hver enkelt, konkret sag, hvilke af den annullerede forordnings virkninger der skal betragtes som bestående (112).

157. I de tilfælde, hvor det fastslås, at en retsakt fra Unionen er ugyldig som følge af, at der foreligger et indgreb i en grundlæggende rettighed, skal der foretages en meget omhyggelig afvejning af de forskellige foreliggende interesser. I det foreliggende tilfælde er der således på den ene side ikke tvivl om, at det endelige mål med at begrænse de omhandlede grundlæggende rettigheder er relevant og endda har hastende karakter. Den fastslåede ugyldighed har på den anden side en helt særlig karakter. Direktiv 2006/24 er for det første ugyldigt som følge af, at der ikke er opstillet tilstrækkelige garantier i forbindelse med adgangen til og udnyttelsen af de indsamlede og lagrede data (lovgivningens kvalitet), der dog kan være tilpasset ved de foranstaltninger, der er gennemført af medlemsstaterne. Medlemsstaterne har for det andet, som det fremgår af de oplysninger, der er fremlagt for Domstolen, generelt udøvet deres beføjelser i begrænset omfang for så vidt angår den længste periode for datalagring.

158. Virkningerne af den fastslåede ugyldighed af direktiv 2006/24 må under disse omstændigheder suspenderes, indtil EU-lovgiver har vedtaget de nødvendige foranstaltninger for at afhjælpe den fastslåede ugyldighed, idet det bemærkes, at sådanne foranstaltninger skal vedtages inden for en rimelig frist.

VII – Forslag til afgørelse

159. På baggrund af det ovenstående foreslår jeg Domstolen at besvare de præjudicielle spørgsmål fra High Court i sag C-293/12 og Verfassungsgerichtshof i sag C-594/12 således:

»1)      Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er i det hele uforeneligt med artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, idet den pligt til datalagring, som fastsættes i direktivet, begrænser udøvelsen af de grundlæggende rettigheder, uden at der er opstillet principper for de garantier, der er nødvendige for at regulere adgangen til og udnyttelsen af de nævnte data.

2)      Artikel 6 i direktiv 2006/24 er ikke forenelig med artikel 7 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som medlemsstaterne derved pålægges at sikre, at de data, der er nævnt i direktivets artikel 5, lagres i en periode, der maksimalt kan udgøre to år.«


1 – Originalsprog: fransk.


2 – Der er tale om Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54).


3 – Herefter »chartret«.


4 – Det bemærkes, at gennemførelsen af direktiv 2006/24 har givet anledning til en række traktatbrudssøgsmål og et søgsmål anlagt i henhold til artikel 260, stk. 3, TEUF, som verserer i øjeblikket (sag C-329/12, Kommissionen mod Tyskland).


5 – EFT L 281, s. 31. Hvad angår tvister om gennemførelsen af dette direktiv se dom af 9.3.2010, sag C-518/07, Kommissionen mod Tyskland, Sml. I, s. 1885, af 16.10.2012, sag C-614/10, Kommissionen mod Østrig, EU:C:2012:631, se endvidere mere generelt dom af 20.5.2003, forenede sager C-465/00, C-138/01 og C-139/01, Österreichischer Rundfunk m.fl., Sml. I, s. 4989, og af 6.11.2003, sag C-101/01, Lindqvist, Sml. I, s. 12971, domme af 16.12.2008, sag C-524/06, Huber, Sml. I, s. 9705, og sag C-73/07, Satakunnan Markkinapörssi og Satamedia, Sml. I, s. 9831, dom af 7.5.2009, sag C-553/07, Rijkeboer, Sml. I, s. 3889, af 9.11.2010, forenede sager C-92/09 og C-93/09, Volker und Markus Schecke og Eifert, Sml. I, s. 11063, domme af 24.11.2011, sag C-70/10, Scarlet Extended, Sml. I, s. 11959, og forenede sager C-468/10 og C-469/10, ASNEF og FECEMD, Sml. I, s. 12181, samt dom af 30.5.2013, sag C-342/23, Worten, EU:C:2013:355).


6 – EFT L 201, s. 37. Hvad angår de tvister, som gennemførelsen af dette direktiv har givet anledning til, se domme af 28.4.2005, sag C-375/04, Kommissionen mod Luxembourg, EU:C:2005:264, og sag C-376/04, Kommissionen mod Belgien, EU:C:2005:265, samt dom af 1.6.2006, sag C-475/04, Kommissionen mod Grækenland, EU:C:2006:362; jf. endvidere mere generelt dom af 29.1.2008, sag C-275/06, Promusicae, Sml. I, s. 271, kendelse af 19.2.2009, sag C-557/07, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, Sml. I, s. 1227, dom af 5.5.2011, sag C-543/09, Deutsche Telekom, Sml. I, s. 3441, Scarlet Extended-dommen, samt dom af 19.4.2012, sag C-461/10, Bonnier Audio m.fl., EU:C:2012:219, og af 22.11.2012, sag C-119/12, Probst, EU:C:2012:748.


7 – Herefter »straffeloven af 2005«.


8 – Datenschutzgesetz 2000, BGBl I 165/1999, som affattet i BGBl. I 112/2011, herefter »DSG«.


9 – Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl I 27/2011.


10 – Herefter »TKG 2003«.


11 – Hvad angår ordlyden af denne artikel, jf. bilag I, punkt III, 2.


12 – Herefter »DRI«.


13 – Herefter »EMRK«.


14 – Herefter »B-VG«.


15 – Herefter »IHRC«.


16 – Herefter »EDPS«.


17 – Sag C-301/06, Sml. I, s. 593.


18 – Jf. artikel 1, stk. 1, i direktiv 95/46.


19 – Jf. artikel 1, stk. 2, i direktiv 95/46.


20 – Jf. artikel 10 og 11 i direktiv 95/46.


21 – Jf. artikel 12 i direktiv 95/46.


22 – Jf. artikel 14 i direktiv 95/46.


23 – Jf. artikel 22 i direktiv 95/46.


24 –      Europa-Parlamentets og Rådets direktiv af 15.12.1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren, EFT 1998 L 2, s. 1.


25 – Som det fremgår af ordlyden af artikel 1, stk. 2, i direktiv 2002/58.


26 – Jf. artikel 1, stk. 1, i direktiv 2002/58.


27 – Jf. navnlig ud over artikel 5, stk. 2, artikel 15, stk. 1, i direktiv 2002/58.


28 – Jf. artikel 5, stk. 1, i direktiv 2002/58.


29 – Min fremhævelse.


30 – Jf. bl.a. de seks første betragtninger til direktiv 2006/24.


31 – For nemheds skyld vil jeg i det følgende anvende udtrykket »udbydere af elektroniske kommunikationstjenester«.


32 – Jf. 21. betragtning til og artikel 1, stk. 1, i direktiv 2006/24.


33 – Jf. fjerde og femte betragtning til direktiv 2006/24.


34 – Det fremgår af artikel 3, stk. 1, i direktiv 2006/24, at pligten til at lagre data i henhold til direktivet udgør en undtagelse til artikel 5, 6 og 9 i direktiv 2002/58.


35 – Jf. præmis 84.


36 – Jf. det udtryk, som Domstolen har anvendt i præmis 80 i dommen i sagen Irland mod Parlamentet og Rådet.


37 – Jf. præmis 80 og 81.


38 – Jf. præmis 72.


39 – Jf. præmis 63 og 65-69.


40 – Jf. præmis 64 og 70.


41 – Det var i den konkrete situation væsentligt at undgå, at forskellen mellem de forskellige nationale lovgivninger blev forstærket, jf. dommen i sagen Irland mod Parlamentet og Rådet, præmis 64 og 70.


42 – Min fremhævelse.


43 – Det anføres i femte betragtning til direktiv 2006/24, at der er »store forskelle« mellem de nationale bestemmelser.


44 – Min fremhævelse.


45 – Jf. de betragtninger, som jeg fremsætter vedrørende dette forhold i punkt 72 nedenfor.


46 – Hvad angår doktrinen om »chilling effect« (afskrækkende virkning); jf. US Supreme Courts dom i sagen Wiemann mod Updegraff, 344 US 183 (1952), Den Europæiske Menneskerettighedsdomstols dom af 25.10.2011, sag nr. 27520/07, Altuğ Taner Akçam mod Tyrkiet, præmis 81, jf. endvidere The Chilling Effect in Constitutional Law, Columbia Law Review, 1969, bind 69, nr. 5, s. 808.


47 – Rådets rammeafgørelse af 27.11.2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350, s. 60).


48 – Som jeg allerede har anført i punkt 74-80 i mit forslag til afgørelse i den sag, der gav anledning til Scarlet Extended-dommen.


49 – Om dette begreb, jf. bl.a. W. Hoffmann-Riem, »Informationelle Selbstbestimmung in der Informationsgesellschaft – auf dem Wege zu einem neuen Konzept des Datenschutzes«, Archiv des öffentlichen Rechts, 1998, bind 123, s. 513, samt Y. Poullet og A. Rouvroy, Le droit à l’autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l’importance de la vie privée pour la démocratie, i État de droit et virtualité, K. Benyekhlef, P. Trudel, (red.), Thémis, Montreal, 2009, s. 158.


50 – Jf. 15. betragtning til direktiv 2006/24.


51 – Jf. 20. betragtning til direktiv 2006/24.


52 – Jf. i denne retning punkt 51 i generaladvokat Kokotts forslag til afgørelse i den sag, der gav anledning til Promusicae-dommen.


53 – Dommen i sagen Volker und Markus Schecke og Eifert. Denne forbindelse fremgår endvidere udtrykkeligt af forklaringerne til chartret. Jf. forklaring ad artikel 8 – Beskyttelse af personoplysninger, hvoraf fremgår, at chartrets artikel 8 bl.a. er baseret på EMRK’s artikel 8 om retten til privatliv.


54 – Denne forbindelse indebærer bl.a., at Den Europæiske Menneskerettighedsdomstols praksis vedrørende fortolkningen af EMRK’s artikel 8, der sikrer retten til respekt for privatliv og familieliv, og beskyttelsen af personoplysninger fortsat er særdeles relevant for fortolkningen af chartrets artikel 8, jf. chartrets artikel 52, stk. 3.


55 – Dommen i sagen Volker und Markus Schecke og Eifert, præmis 52.


56 – Den Europæiske Menneskerettighedsdomstol har gentagne gange fastslået, at det »hverken er muligt eller nødvendigt at forsøge at fastlægge en udtømmende definition af begrebet »privatliv«, jf. bl.a. dom af 16.12.1992, Niemietz mod Tyskland, sag nr. 13710/88, serie A, nr. 251-B, præmis 29. Der er under alle omstændigheder tale om et »bredt« begreb, jf. dom af. 19.4.2002 i sagen Pretty mod Det Forenede Kongerige. Om begrebet privatliv, jf. bl.a. J. Rubenfeld, The Right of Privacy, Harvard Law Review, 1989, bind 102, s. 737, O. De Schutter, La vie privée entre droit de la personnalité et liberté, Revue trimestrielle des droits de l’homme, 1999, s. 827, P. Wachsmann, Le droit au secret de la vie privé, i F. Sudre, Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruylant, 2005, s. 119, og F. Rigaux, La protection de la vie privée en Europe, i Le droit commun de l’Europe et l’avenir de l’enseignement juridique, B. de Witte B og C. Forder (red.), Metro, Kluwer, 1992, s. 185.


57 – Jf. niende betragtning til direktiv 2006/24.


58 – Jf. dommen i sagen Irland mod Parlamentet og Rådet, præmis 57, og de betragtninger, som jeg har fremført herom nedenfor.


59 – Jf. bl.a. dom af 26.3.1987, Leander mod Sverige, serie A, nr. 116, s. 22, præmis 48.


60 – Jf. bl.a. dom af 16.2.2000, sag nr. 27798/95, Amann mod Schweiz, ECHR 2000-II, præmis 65, 69 og 80.


61 – Min fremhævelse.


62 – Jf. 13. betragtning, artikel 1, stk. 2, og artikel 5, stk. 2.


63 – Jf. i denne retning M. Nettesheim, Grundrechtsschutz der Privatheit, i Der Schutzauftrag des Rechts, Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer, 2011, bind 70, s. 7.


64 – Hvad angår indgreb, der består i den blotte besiddelse af oplysninger, som i øvrigt var indsamlet før den europæiske menneskerettighedskonventions ikrafttræden, jf. Den Europæiske Menneskerettighedsdomstols dom af 4.5.2000, sag nr. 28341/95, Rotaru mod Rumænien, ECHR 2000-V, præmis 46.


65 – Det anføres i 13. betragtning til direktiv 2006/24, at pligten til at lagre kun vedrører »tilgængelige data«, hvilket indebærer, at pligten til at lagre data, der vedrører e-mail eller telefoni via internettet, begrænses til kun at gælde »udbydernes egne eller netudbydernes tjenester«.


66 – For at gentage det udtryk, som Bundesverfassungsgericht anvendte i sin afgørelse af 2.3.2010, nr. 1, BvR 256/08, 1 BvR 263/08 og 1 BvR 586/08, http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html


67 – Om betydningen af den moderne informationsteknologis, og særlig internettets, mulitiplikatoreffekt, jf. bl.a. Den Europæiske Menneskerettighedsdomstols dom af 13.1.2011, Mouvement Raëlien Suisse mod Schweiz, sag nr. 16354/06, præmis 54 ff., af 16.2.2010, sag nr. 41056/04, Akdas mod Tyrkiet, præmis 28, og af 16.7.2009, sag nr. 10883/05, Willem mod Frankring, præmis 36 og 38.


68 – Jf. artikel 3, stk. 1, i direktiv 2006/24, der fastsætter pligten til at lagre data.


69 – Jf. artikel 8 i direktiv 2006/24 med overskriften »Krav til lagringen af data«.


70 – Som Bundesverfassungsgericht fastslog i afgørelse af 2.3.2010, præmis 214.


71 – Jf. i denne retning J. Bast og A. von Bogdandy i Grabitz, Hilf, Nettesheim, Das Recht der Europäischen Union, Beck, 50. hæfte 2013, Artikel 5, og R. Streinz i R. Streinz (red.), EUV/AEUV, Beck, anden udgave, 2012, Artikel 5.


72 – Jf. artikel 4, stk. 2, litra a), TEUF.


73 – Jf. dom af 29.3.2012, sag C-504/09 P, Kommissionen mod Polen, EU:C:2012:178, præmis 79, og dommen i sagen Kommissionen mod Estland, sag C-505/09 P, EU:C:2012:179, præmis 81.


74 – Forslag til Europa-Parlamentets og Rådets direktiv om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58/EF, KOM(2005) 438 endelig.


75 – Jf. bl.a. dom af 6.12.2005, forenede sager C-453/03, C-11/04, C-12/04 og C-194/04, ABNA m.fl., Sml. I, s. 10423, præmis 68, og af 8.6.2010, sag C-58/08, Vodafone m.fl., Sml. I, s. 4999, præmis 51, samt dommen af 9.11.2010 i sagen Volker und Markus Schecke og Eifert, præmis 74.


76 – Som udtrykt af Domstolen i dommen i sagen Irland mod Parlamentet og Rådet, præmis 85.


77 – Jf. navnlig dom af 14.5.2009, sag C-34/08, Azienda Agricola Disarò Antonio m.fl., Sml. I, s. 4023, præmis 76-83.


78 – Jf. dommen i sagen Azienda Agricola Disarò Antonio m.fl., præmis 76 og den deri nævnte retspraksis.


79 – Jf. navnlig dom af 19.11.1998, sag C-150/94, Det Forenede Kongerige mod Rådet, Sml. I, s. 7235.


80 – Jf. bl.a. dom af 1.2.2007, sag C-266/05 P, Sml. I, s. 1233, præmis 32-34, og af 16.12.2008, sag C-127/07, Arcelor Atlantique og Lorraine m.fl., Sml. I, s. 9895, præmis 57, samt dommen i sagen Vodafone m.fl., præmis 52.


81 – Jf. dommen i sagen Vodafone m.fl., præmis 53.


82 – Jf. bl.a dom af 12.7.2001, sag C-189/01, Jippes m.fl., Sml. I, s. 5689, præmis 82 og 83, af 10.12.2002, sag C-491/01, British American Tobacco (Investments) og Imperial Tobacco, Sml. I, s. 11453, præmis 123, af 12.7.2005, forenede sager C-154/04 og C-155/04, Alliance for Natural Health m.fl., Sml. I, s. 6451, præmis 52, og af 28.7.2011, sag C-309/10, Agrana Zucker, Sml. I, s. 7333, præmis 84.


83 – Jf. sjette betragtning til direktiv 2006/24.


84 – Jf. sjette betragtning til direktiv 2006/24. Jf. endvidere Evalueringsrapport om datalagringsdirektivet (direktiv 2006/24/EF) fra Kommissionen til Rådet og Europa-Parlamentet af 18.4.2011, KOM(2011) 225 endelig, punkt 3.2, herefter »evalueringsrapporten om direktiv 2006/24«.


85 – Jf. dommen i sagen Irland mod Parlamentet og Rådet, præmis 85.


86 – Det bemærkes, at Domstolen hidtil ikke har haft lejlighed til at tage stilling til indholdet af minimumskravene til »lovgivningens kvalitet« eller til de forpligtelser, der påhviler henholdsvis institutionerne og Unionens medlemsstater i denne henseende.


87 – Jf. i denne henseende punkt 88-100 i mit forslag til afgørelse i den sag, der gav anledning til Scarlet Extended-dommen.


88 – Som fastslået af Bundesverfassungsgericht i afgørelse af 2.3.2010, præmis 197-203.


89 – Jf. i denne retning endvidere dommen i sagen Irland mod Parlamentet og Rådet.


90 – Jf. 54. betragtning til og artikel 13, stk. 1 og 2, i direktiv 95/46 og artikel 15, stk. 1, i direktiv 2002/58.


91 – Den eneste henvisning til dette krav, der følger af direktiv 2006/24, fremgår af 17. betragtning til direktivet, hvori anføres, at det er vigtigt, at medlemsstaterne træffer lovgivningsmæssige foranstaltninger til at sikre, at lagrede data kun udleveres til de kompetente nationale myndigheder i overensstemmelse med national lovgivning og under fuld overholdelse af de berørte personers grundlæggende rettigheder. Denne præcisering fremgår imidlertid ikke af den tilsvarende bestemmelse i artikel 4 i direktiv 2006/24.


92 – Det bemærkes i denne henseende, som Domstolen har fastslået, at det især fremgår af tiende betragtning til og artikel 1 i direktiv 95/46, at direktivet også har til formål ikke at mindske det beskyttelsesniveau, som de gældende nationale regler sikrer, men derimod at sikre et højt beskyttelsesniveau for frihedsrettigheder og grundlæggende rettigheder i Unionen med hensyn til behandlingen af personoplysninger, jf. dommen af 9.3.2010 i sagen Kommissionen mod Tyskland, præmis 22.


93 – Det fremgår af artikel 4 i direktiv 2006/24, at det påhviler medlemsstaterne at sikre, at lagrede data »kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning« og nærmere bestemt i deres nationale lovgivning at fastsætte »den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data«.


94 – Min fremhævelse.


95 – Hvad angår dette forhold, jf. punkt 122 ff. i generaladvokat Bots forslag til afgørelse i den sag, der gav anledning til dommen i sagen Irland mod Parlamentet og Rådet. Jf. endvidere artikel 3, stk. 2, første led, i direktiv 95/46 samt rammeafgørelse 2008/977.


96 – Min fremhævelse.


97 – Hvad angår behandlingen af personoplysninger, der vedrører statens aktiviteter på det strafferetlige område, den offentlige sikkerhed eller statens sikkerhed, jf. artikel 3, stk. 1, første led, i direktiv 95/46.


98 – Jf. artikel 1, stk. 2, i og syvende og niende betragtning til rammeafgørelse 2008/977.


99 – Jf. 21. betragtning til og artikel 1, stk. 1, i direktiv 2006/24.


100 – Det fremgår af artikel 4 i direktiv 2006/24, at adgangen til de lagrede data er forbeholdt de kompetente nationale myndigheder, hvilket indebærer, at den nævnte adgang ikke nødvendigvis er forbeholdt de retlige myndigheder.


101 – Jf. endvidere artikel 1, stk. 2, og syvende betragtning til rammeafgørelse 2008/977.


102 – Det bemærkes i denne henseende, at gennemførelsen af direktiv 2006/24 i de forskellige medlemsstater ikke har været uden vanskeligheder og giver fortsat anledning til en række forskellige vanskeligheder, som det fremgår af de afgørelser, der er afsagt af Curtea Constituțională (jf. den rumænske forfatningsdomstols afgørelse af 8.10.2009, nr. 1258, som foreligger i engelsk udgave, se http://www.ccr.ro/files/products/D1258_091.pdf), Bundesverfassungsgerichts (jf. den tyske forfatningsdomstols afgørelse af 2.3.2010), Ústavní Soud (jf. den tjekkiske forfatningsdomstols afgørelse af 22.3.2011, Pl. ÚS 24/10, som foreligger i engelsk udgave, se http://www.usoud.cz/en/decisions/?tx_ttnews%5Btt_news%5D=40&cHash=bbaa1c5b1a7d6704af6370fdfce5d34c), Varhoven administrativen sad (Bulgariens øverste administrative domstol, afgørelse af 11.9.2008, sag nr. 13627) og Anotato Dikastirio tis Kypriakis Dimokratias (Cyperns øverste domstol, afgørelse af 1.2.2011 i sag nr. 183(I)/2007). Der er anlagt et søgsmål ved Alkotmánybíróság (den ungarske forfatningsdomstol; jf. »Hungarian Data Retention Law – Challenged at the Constitutional Court«, EDRI-Gram nr.° 6.11, 4.6.2008), og en sag verserer for Ustavno sodišče (den slovenske forfatningsdomstol; jf. »Slovenia: Information Commissioner challenges the Data Retention Law«, EDRI-Gram nr.°11.6, 27.3.2013).


103 – Jf. dommen i sagen Volker und Markus Schecke og Eifert, præmis 76.


104 – Det anføres i niende betragtning til direktiv 2006/24, at direktivet udgør et »nødvendigt og effektivt efterforskningsredskab for retshåndhævelsen i flere medlemsstater, herunder navnlig i alvorlige sager som organiseret kriminalitet og terrorisme«. Jf. nærmere herom evalueringsrapporten om direktiv 2006/24.


105 – Min fremhævelse.


106 – Kommissionen har opfyldt sin forpligtelse i denne henseende ved at offentliggøre evalueringsrapporten om direktiv 2006/24.


107 – Hvad angår det generelle princip i direktiv 2002/58 om, at data skal slettes, jf. mere generelt 22., 23. og 26.-28. betragtning til dette direktiv.


108 – Det er denne efterfølgende lagring, som er omhandlet i artikel 16 i Europarådets konvention om it-kriminalitet fra 2001, undertegnet i Budapest den 23.11.2001. Hvad angår dette begreb, jf. evalueringsrapporten om direktiv 2006/24.


109 – N. Elias, Du temps, Fayard, 1998, og H. Rosa, Accélération. Une critique sociale du temps, La Découverte, 2013.


110 – Jf. bl.a. dom af 23.11.2010, sag C-145/09, Tsakouridis, Sml. I, s. 11979, præmis 50-52, af 21.2.2013, sag C-472/11, Banif Plus Bank, EU:C:2013:88, præmis 29, og af 26.2.2013, sag C-617/10, Åkerberg Fransson, EU:C:2013:105, præmis 21 og 25-30.


111 – Jf. bl.a. dom af 9.9.2008, forenede sager C-120/06 P og C-121/06 P, FIAMM m.fl. mod Rådet og Kommissionen, Sml. I, s. 6513, præmis 123.


112 – Jf. bl.a. dom af 8.11.2001, sag C-228/99, Silos, Sml. I, s. 8401, præmis 35, og af 22.12.2008, sag C-333/07, Regie Networks, Sml. I, s. 10807, præmis 121.