Language of document : ECLI:EU:C:2014:238

ARREST VAN HET HOF (Grote kamer)

8 april 2014 (*)

„Elektronische communicatie – Richtlijn 2006/24/EG – Openbaar beschikbare elektronischecommunicatiediensten of openbare communicatienetwerken – Bewaring van gegevens die zijn gegenereerd of verwerkt in het kader van aanbieding van dergelijke diensten – Geldigheid – Artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie”

In de gevoegde zaken C‑293/12 en C‑594/12,

betreffende verzoeken om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de High Court (Ierland) en het Verfassungsgerichtshof (Oostenrijk) bij beslissingen van respectievelijk 27 januari en 28 november 2012, ingekomen bij het Hof op 11 juni en 19 december 2012, in de procedures

Digital Rights Ireland Ltd (C‑293/12)

tegen

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Ierland,

The Attorney General,

in tegenwoordigheid van:

Irish Human Rights Commission,

en

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl e.a.,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: V. Skouris, president, K. Lenaerts, vicepresident, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (rapporteur), E. Juhász, A. Borg Barthet, C. G. Fernlund en J. L.da Cruz Vilaça, kamerpresidenten, A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, C. Toader en C. Vajda, rechters,

advocaat-generaal: P. Cruz Villalón,

griffier: K. Malacek, administrateur,

gezien de stukken en na de terechtzitting op 9 juli 2013,

gelet op de opmerkingen van:

–        Digital Rights Ireland Ltd, vertegenwoordigd door F. Callanan, SC, en F. Crehan, BL, gemachtigd door S. McGarr, solicitor,

–        Seitlinger, vertegenwoordigd door G. Otto, Rechtsanwalt,

–        Tschohl e.a., vertegenwoordigd door E. Scheucher, Rechtsanwalt,

–        Irish Human Rights Commissie, vertegenwoordigd door P. Dillon Malone, BL, gemachtigd door S. Lucey, solicitor,

–        Ierland, vertegenwoordigd door E. Creedon en D. McGuinness als gemachtigden, bijgestaan door E. Regan, SC, en D. Fennelly, JC,

–        de Oostenrijkse regering, vertegenwoordigd door G. Hesse en G. Kunnert als gemachtigden,

–        de Spaanse regering, vertegenwoordigd door N. Díaz Abad als gemachtigde,

–        de Franse regering, vertegenwoordigd door G. de Bergues, D. Colas en B. Beaupère-Manokha als gemachtigden,

–        de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door A. De Stefano, avvocato dello Stato,

–        de Poolse regering, vertegenwoordigd door B. Majczyna en M. Szpunar als gemachtigden,

–        de Portugese regering, vertegenwoordigd door L. Inez Fernandes en C. Vieira Guerra als gemachtigden,

–        de regering van het Verenigd Koninkrijk, vertegenwoordigd door L. Christie als gemachtigde, bijgestaan door S. Lee, barrister,

–        het Europees Parlement, vertegenwoordigd door U. Rösslein, A. Caiola en K. Zejdová als gemachtigden,

–        de Raad van de Europese Unie, vertegenwoordigd door J. Monteiro, E. Sitbon en I. Šulce als gemachtigden,

–        de Europese Commissie, vertegenwoordigd door D. Maidani, B. Martenczuk en M. Wilderspin als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 12 december 2013,

het navolgende

Arrest

1        De verzoeken om een prejudiciële beslissing hebben betrekking op de geldigheid van richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54).

2        Het verzoek van de High Court (zaak C‑293/12) betreft een geding tussen Digital Rights Ireland Ltd. (hierna: „Digital Rights”), enerzijds, en de Minister for Communications, Marine and Natural Resources (minister van Communicatie, Mariene Aangelegenheden en Natuurlijke Hulpbronnen), de Minister for Justice, Equality and Law Reform (minister van Justitie, Gelijke Kansen en Hervorming van de wetgeving), de Commissioner of the Garda Síochána, Ierland en de Attorney General, anderzijds, betreffende de wettigheid van de nationale wettelijke en bestuursrechtelijke bepalingen inzake de bewaring van gegevens betreffende elektronische communicaties.

3        Het verzoek van het Verfassungsgerichtshof (zaak C‑594/12) is ingediend in het kader van de constitutionele beroepen die de Kärntner Landesregierung (regering van het Land Karinthië), Seitlinger en Tschohl en 11 128 andere verzoekers bij deze rechterlijke instantie hebben ingesteld met betrekking tot de verenigbaarheid van de wet tot omzetting van richtlijn 2006/24 in het Oostenrijkse nationale recht met de federale grondwet (Bundes‑Verfassungsgesetz).

 Toepasselijke bepalingen

 Richtlijn 95/46/EG

4        Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PB L 281, blz. 31) heeft volgens artikel 1, lid 1, ervan tot doel de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name van de persoonlijke levenssfeer, te waarborgen, voor zover het gaat om de verwerking van persoonsgegevens.

5        Wat de beveiliging van de verwerking van dergelijke gegevens betreft, bepaalt artikel 17, lid 1, van deze richtlijn:

„De lidstaten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.”

 Richtlijn 2002/58/EG

6        Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201, blz. 37), zoals gewijzigd door richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB L 337, blz. 11; hierna: „richtlijn 2002/58”), strekt volgens artikel 1, lid 1, ervan tot harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name van het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en ‑diensten in de Europese Unie. Volgens artikel 1, lid 2, vormen de bepalingen van deze richtlijn met het oog op de doelstellingen van bovengenoemd lid 1 een specificatie van en een aanvulling op richtlijn 95/46.

7        Wat de beveiliging van de verwerking van gegevens betreft, bepaalt artikel 4 van richtlijn 2002/58:

„1.      De aanbieder van een openbare elektronischecommunicatiedienst treft passende technische en organisatorische maatregelen om de veiligheid van zijn diensten te garanderen, indien nodig in overleg met de aanbieder van het openbare communicatienetwerk wat de veiligheid van het netwerk betreft. Die maatregelen waarborgen een beveiligingsniveau dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van uitvoering ervan.

1 bis.          Onverminderd richtlijn 95/46/EG zorgen de in lid 1 bedoelde maatregelen ervoor dat in ieder geval:

–        wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

–        opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave, en

–        een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

De bevoegde nationale instanties kunnen de door de aanbieders van openbare elektronischecommunicatiediensten genomen maatregelen controleren en aanbevelingen formuleren over beste praktijken [met betrekking tot] het beveiligingspeil dat met deze maatregelen moet worden gehaald.

2.      Indien een bijzonder risico bestaat van inbreuken op de beveiliging van het netwerk, stelt de aanbieder van een openbare elektronischecommunicatiedienst de abonnees in kennis van dat risico en, indien het risico tot andere maatregelen noopt dan die waartoe de dienstenaanbieder verplicht is, van de eventuele middelen om dat risico tegen te gaan, met inbegrip van een indicatie van de verwachte kosten.”

8        Wat het vertrouwelijke karakter van de communicatie en van de verkeersgegevens betreft, bepaalt artikel 5, leden 1 en 3, van de richtlijn:

„1.      De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronischecommunicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.

[...]

3.      De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”

9        Artikel 6, lid 1, van richtlijn 2002/58 luidt als volgt:

„Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronischecommunicatienetwerk of ‑dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.”

10      Artikel 15, lid 1, van richtlijn 2002/58 bepaalt:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46/EG. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.”

 Richtlijn 2006/24

11      Na overleg te hebben gepleegd met de vertegenwoordigers van de wethandhavingsautoriteiten, de sector van de elektronische communicatie en deskundigen inzake gegevensbescherming, heeft de Commissie op 21 september 2005 een impactanalyse gepresenteerd van de beleidsopties betreffende de regels inzake de bewaring van verkeersgegevens (hierna: „impactanalyse”). Deze analyse diende als basis voor de uitwerking van het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronischecommunicatiediensten en tot wijziging van richtlijn 2002/58/EG [COM(2005) 438 definitief; hierna: „voorstel voor een richtlijn”], dat op dezelfde dag is bekendgemaakt en dat heeft geleid tot de vaststelling van richtlijn 2006/24 op grond van artikel 95 EG.

12      Punt 4 van de considerans van richtlijn 2006/24 luidt als volgt:

„In artikel 15, lid 1, van richtlijn 2002/58/EG worden de voorwaarden vastgesteld waaronder de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van die richtlijn bedoelde rechten en plichten kunnen worden beperkt door de lidstaten. Iedere beperking van die aard dient in een democratische samenleving noodzakelijk, redelijk en proportioneel te zijn ter waarborging van de nationale veiligheid d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem.”

13      Volgens de eerste volzin van punt 5 van de considerans van richtlijn 2006/24 hebben „[d]iverse lidstaten [...] wetgeving aangenomen op het gebied van het bewaren van gegevens door aanbieders van diensten ten behoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten”.

14      De punten 7 tot en met 11 van de considerans van richtlijn 2006/24 luiden als volgt:

„(7)      In de conclusies van de Raad justitie en binnenlandse zaken van 19 december 2002 wordt benadrukt dat wegens de opmerkelijke toename van de mogelijkheden van elektronische communicatie, gegevens betreffende het gebruik daarvan van bijzonder belang zijn en een waardevol instrument bij het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, met name in de strijd tegen de georganiseerde misdaad.

(8)      In zijn verklaring betreffende de bestrijding van terrorisme van 25 maart 2004 heeft de Europese Raad aan de Raad opdracht gegeven maatregelen te bestuderen met het oog op het vaststellen van regels voor het bewaren van verkeersgegevens door telecommunicatieaanbieders.

(9)      Ingevolge artikel 8 van het [op 4 november 1950 te Rome ondertekende] Europees Verdrag tot bescherming van de rechten van de mens (EVRM) heeft iedereen recht op respect voor zijn privéleven en zijn correspondentie. Openbare instanties kunnen in de uitoefening van dat recht tussenkomen overeenkomstig de wettelijke voorzieningen, en indien het in een democratische samenleving noodzakelijk is in het belang van, onder andere, de nationale veiligheid, de openbare veiligheid, ter voorkoming van ordeverstoring of strafbare feiten, of voor de bescherming van de rechten en vrijheden van anderen. Omdat gebleken is dat de bewaring van gegevens een noodzakelijk en doeltreffend onderzoeksinstrument is voor wetshandhaving in verschillende lidstaten, en met name bij ernstige aangelegenheden zoals georganiseerde misdaad en terrorisme, dient gezorgd te worden dat de bewaarde gegevens beschikbaar zijn voor de wetshandhavingsautoriteiten gedurende een bepaalde periode, onder specifieke voorwaarden. [...]

(10)      In de verklaring ter veroordeling van de terroristische aanslagen op Londen die is aangenomen door bijzondere vergadering van de Raad van 13 juli 2005 wordt nogmaals nadrukkelijk gewezen op de noodzaak om zo spoedig mogelijk gemeenschappelijke maatregelen aan te nemen in verband met het bewaren van verkeersgegevens van elektronische communicatie.

(11)      Gelet op het door onderzoek en de ervaring van diverse lidstaten aangetoonde belang van deze verkeers‑ en locatiegegevens voor het onderzoeken, opsporen en vervolgen van strafbare feiten is het noodzakelijk op Europees niveau te waarborgen dat gegevens die gegenereerd zijn of worden verwerkt door aanbieders van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken gedurende een bepaalde periode onder specifieke voorwaarden worden bewaard.”

15      De punten 16, 21 en 22 van de considerans van de richtlijn preciseren:

„(16)[D]e verplichtingen voor dienstenaanbieders met betrekking tot maatregelen ter waarborging van de kwaliteit van gegevens die voortvloeien uit artikel 6 van richtlijn 95/46/EG, alsook hun verplichtingen met betrekking tot maatregelen ter waarborging van vertrouwelijkheid en veiligheid bij de verwerking van gegevens die voortvloeien uit de artikelen 16 en 17 van die richtlijn, [zijn] volledig van toepassing [...] op de gegevens die bewaard worden in de zin van deze richtlijn.

[…]

(21)      Aangezien de doelstellingen van deze richtlijn, namelijk het harmoniseren van de aan aanbieders opgelegde verplichtingen inzake het bewaren van sommige gegevens en het waarborgen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van zware criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten niet voldoende door de lidstaten kunnen worden verwezenlijkt en derhalve vanwege de omvang of de gevolgen van de richtlijn beter door de Gemeenschap kunnen worden verwezenlijkt, kan de Gemeenschap, overeenkomstig het in artikel 5 van het Verdrag neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(22)      Deze richtlijn eerbiedigt de grondrechten en strookt met de beginselen die met name in het Handvest van de grondrechten van de Europese Unie zijn neergelegd. In het bijzonder wil onderhavige richtlijn, net als richtlijn 2002/58/EG, de volledige eerbiediging waarborgen van de fundamentele rechten op eerbiediging van het privéleven en bescherming van zijn persoonsgegevens als vastgelegd in de artikelen 7 en 8 van het Handvest.”

16      Volgens richtlijn 2006/24 zijn de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk verplicht om bepaalde gegevens te bewaren die door hen worden gegenereerd of verwerkt. Dienaangaande bepalen de artikelen 1 tot en met 9, 11 en 13 van deze richtlijn het volgende:

Artikel 1

Onderwerp en werkingssfeer

1.      Deze richtlijn heeft tot doel een harmonisatie tot stand te brengen van de nationale bepalingen van de lidstaten waarbij aan aanbieders van elektronischecommunicatiediensten of een openbaar communicatienetwerk verplichtingen worden opgelegd inzake het bewaren van bepaalde gegevens die door hen gegenereerd of door hen worden verwerkt, teneinde te garanderen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten.

2.      Deze richtlijn heeft betrekking op verkeers‑ en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren. Zij is niet van toepassing op de inhoud van elektronische communicatie, de informatie die wordt geraadpleegd met behulp van een elektronisch communicatienetwerk daaronder begrepen.

Artikel 2

Definities

1.      In het kader van deze richtlijn gelden de definities van richtlijn 95/46/EG, van richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronischecommunicatienetwerken en ‑diensten (kaderrichtlijn) [...] en van richtlijn 2002/58/EG.

2.      In deze richtlijn wordt verstaan onder:

a)      ‚gegevens’: verkeers‑ en locatiegegevens, en de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identificeren;

b)      ‚gebruiker’: elke natuurlijke of rechtspersoon die, eventueel zonder geabonneerd te zijn op een openbare elektronischecommunicatiedienst, daarvan gebruikmaakt voor particuliere of zakelijke doeleinden;

c)      ‚telefoondienst’: oproepen (met inbegrip van spraak, voicemail, conference call of call-gegevens), aanvullende diensten (met inbegrip van call forwarding en call transfer), messaging‑ en multimediadiensten (met inbegrip van short message service (SMS), enhanced media service (EMS) en multimedia service (MMS));

d)      ‚gebruikersidentificatie’: een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of internetcommunicatiedienst;

e)      ‚celidentiteit’ (Cell ID): de unieke code van een cel van waaruit een mobiele telefonieoproep werd begonnen of beëindigd;

f)      ‚oproeppoging zonder resultaat’: een communicatie waarbij een telefoonoproep wel tot een verbinding heeft geleid, maar onbeantwoord is gebleven of via het netwerkbeheer is beantwoord.

Artikel 3

Verplichting om gegevens te bewaren

1.      In afwijking van de artikelen 5, 6 en 9 van richtlijn 2002/58/EG nemen de lidstaten bepalingen aan om te waarborgen dat de in artikel 5 bedoelde gegevens, voor zover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt door onder hun rechtsmacht vallende aanbieders van openbare elektronischecommunicatiediensten of een openbaar communicatienetwerk [...], worden bewaard overeenkomstig de bepalingen van deze richtlijn.

2.      De verplichting tot gegevensbewaring voorzien in lid 1 omvat de bewaring van de in artikel 5 bedoelde gegevens betreffende oproeppogingen zonder resultaat [...], voor zover die in verband met de aanbieding van de bedoelde communicatiediensten worden gegenereerd, verwerkt en opgeslagen (wat telefoniegegevens betreft) of gelogd (wat internetgegevens betreft) door onder de rechtsmacht van de betrokken lidstaat vallende aanbieders van openbaar beschikbare elektronischecommunicatiediensten of van een openbaar communicatienetwerk. Deze richtlijn bevat geen vereisten betreffende de bewaring van gegevens in verband met niet tot stand gekomen verbindingen.

Artikel 4

Toegang tot gegevens

De lidstaten nemen bepalingen aan om te waarborgen dat de overeenkomstig deze richtlijn bewaarde gegevens alleen in welbepaalde gevallen, en in overeenstemming met de nationale wetgeving, aan de bevoegde nationale autoriteiten worden verstrekt. De procedure en de te vervullen voorwaarden voor toegang tot gegevens die bewaard worden overeenkomstig de vereisten inzake noodzakelijkheid en evenredigheid, worden door elke lidstaat vastgesteld in de nationale wetgeving, rekening houdend met de relevante bepalingen van de wetgeving van de Europese Unie of publiek internationaal recht, met name het EVRM, zoals geïnterpreteerd door het Europees Hof voor de Rechten van de Mens.

Artikel 5

Te bewaren categorieën gegevens

1.      De lidstaten zorgen ervoor dat de volgende categorieën gegevens ter uitvoering van deze richtlijn worden bewaard:

a)      gegevens die nodig zijn om de bron van een communicatie te traceren en te identificeren:

1.      in het geval van telefonie over een vast of mobiel netwerk:

i)      het telefoonnummer van de oproeper,

ii)      naam en adres van de abonnee of de geregistreerde gebruiker;

2.      in het geval van internettoegang, e-mail over het internet en internettelefonie:

i)      de toegewezen gebruikersidentificatie(s),

ii)      de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt,

iii)      naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie;

b)      gegevens die nodig zijn om de bestemming van een communicatie te identificeren:

1.      in het geval van telefonie over een vast netwerk en mobiele telefonie:

i)      het telefoonnummer (de telefoonnummers) die werden opgeroepen en, in het geval van aanvullende diensten zoals call forwarding of call transfer, het nummer (de nummers) waarnaar de verbinding is doorgeleid,

ii)      naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s);

2.      in het geval van e-mail over het internet en internettelefonie:

i)      de gebruikersidentificatie of [het] telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep,

ii)      naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van de communicatie;

c)      gegevens die nodig zijn om de datum, het tijdstip en de duur van een communicatie te bepalen:

1.      in het geval van telefonie over een vast netwerk en mobiele telefonie: datum en tijdstip van aanvang en einde van de verbinding;

2.      in het geval van internettoegang, e-mail over het internet en internettelefonie:

i)      datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker,

ii)      [...] datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone;

d)      gegevens die nodig zijn om het type communicatie te bepalen:

1.      in het geval van telefonie over een vast netwerk en van mobiele telefonie: de gebruikte telefoondienst,

2.      in het geval van e-mail over het internet en internettelefonie: de gebruikte internetdienst;

e)      gegevens die nodig zijn om de communicatieapparatuur of de vermoedelijke communicatieapparatuur van de gebruikers te identificeren:

1.      in het geval van telefonie over een vast netwerk, het/de oproepende en opgeroepen nummer(s);

2.      in het geval van mobiele telefonie:

i)      het/de oproepende en opgeroepen nummer(s),

ii)      de International Mobile Subscriber Identity (IMSI) van de oproepende deelnemer,

iii)      de International Mobile Equipment Identity (IMEI) van de oproepende deelnemer,

iv)      de IMSI van de opgeroepen deelnemer,

v)      de IMEI van de opgeroepen deelnemer,

vi)      in geval van vooraf betaalde anonieme diensten, datum en tijdstip van de eerste activering van de dienst en aanduiding (Cell ID) van de locatie waaruit de dienst is geactiveerd;

3.      in het geval van internettoegang, e-mail over het internet en internetdiensten:

i)      het inbellende nummer voor een inbelverbinding,

ii)      de digital subscriber line (DSL) of [een] ander eindpunt van de initiatiefnemer van de communicatie;

f)      gegevens die nodig zijn om de locatie van mobiele communicatieapparatuur te bepalen:

1.      de locatieaanduiding (Cell ID) bij het begin van de verbinding,

2.      gegevens voor het identificeren van de geografische locatie van cells middels referentie aan hun locatieaanduidingen (Cell ID’s) gedurende de periode dat communicatiegegevens worden bewaard.

2.      Gegevens waaruit de inhoud van de communicatie kan worden opgemaakt, mogen krachtens deze richtlijn niet worden bewaard.

Artikel 6

Bewaringstermijnen

De lidstaten zorgen ervoor dat de in artikel 5 genoemde categorieën gegevens gedurende ten minste zes maanden en ten hoogste twee jaar vanaf de datum van de communicatie worden bewaard.

Artikel 7

Gegevensbescherming en gegevensbeveiliging

Onverminderd de bepalingen die zijn goedgekeurd ingevolge de richtlijnen 95/46/EG en 2002/58/EG zorgt iedere lidstaat ervoor dat de aanbieders van elektronischecommunicatiediensten of de aanbieders van een publiek communicatienetwerk ten minste de volgende beginselen van gegevensbeveiliging respecteren met betrekking tot gegevens die bewaard worden overeenkomstig deze richtlijn:

a)      de bewaarde gegevens hebben dezelfde kwaliteit en worden onderworpen aan dezelfde beveiligings‑ en beschermingsmaatregelen als de gegevens in het netwerk;

b)      de gegevens worden onderworpen aan passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies of wijziging per ongeluk, niet-toegelaten of onrechtmatige opslag, verwerking, toegang of openbaarmaking;

c)      de gegevens worden onderworpen aan passende technische en organisatorische maatregelen om te waarborgen dat toegang tot de gegevens slechts geschiedt door speciaal daartoe bevoegde personen,

en

d)      de gegevens worden aan het einde van de bewaarperiode vernietigd, met uitzondering van de geraadpleegde en vastgelegde gegevens.

Artikel 8

Opslagvoorschriften voor bewaarde gegevens

De lidstaten zorgen ervoor dat de gegevens, zoals vermeld in artikel 5 in overeenstemming met deze richtlijn worden bewaard, op zodanige wijze dat de bewaarde gegevens en alle andere daarmee verband houdende relevante informatie onverwijld aan de bevoegde autoriteiten kunnen worden meegedeeld wanneer daarom wordt verzocht.

Artikel 9

Toezichthoudende autoriteit

1.      Elke lidstaat zorgt ervoor dat één of meer overheidsinstanties verantwoordelijk worden gesteld voor het toezicht houden op de toepassing op het eigen grondgebied van de bepalingen, die overeenkomstig artikel 7 van deze richtlijn door de lidstaten zijn goedgekeurd met betrekking tot de veiligheid van de bewaarde gegevens. Deze instanties kunnen dezelfde zijn als die bedoeld in artikel 28 van richtlijn 95/46/EG.

2.      Deze instanties zijn volledig onafhankelijk bij de uitoefening van de in lid 1 bedoelde taak.

[...]

Artikel 11

Wijziging van richtlijn 2002/58/EG

In artikel 15 van richtlijn 2002/58/EG wordt het volgende lid ingevoegd:

‚1 bis.      Lid 1 is niet van toepassing op de uit hoofde van [richtlijn 2006/24] te bewaren gegevens voor de in artikel 1, lid 1, van die richtlijn bedoelde doeleinden.’

[...]

Artikel 13

Verhaal in rechte, aansprakelijkheid en sancties

1.      Elke lidstaat neemt de nodige maatregelen om ervoor te zorgen dat de nationale maatregelen ter uitvoering van hoofdstuk III van richtlijn 95/46/EG betreffende beroep op de rechter, aansprakelijkheid en sancties wat de verwerking van gegevens krachtens deze richtlijn betreft, volledig worden geïmplementeerd.

2.      Elke lidstaat neemt, in het bijzonder, de noodzakelijke maatregelen om ervoor te zorgen dat elke opzettelijke toegang tot of overbrenging van gegevens die overeenkomstig deze richtlijn worden bewaard die niet is toegestaan uit hoofde van krachtens deze richtlijn vastgestelde nationale uitvoeringsbepalingen, strafbaar is met sancties, met inbegrip van administratieve of strafrechtelijke sancties, die effectief, evenredig en afschrikkend zijn.”

 Hoofdgedingen en prejudiciële vragen

 Zaak C‑293/12

17      Digital Rights heeft op 11 augustus 2006 een beroep ingesteld bij de High Court. Zij betoogt dat zij eigenaar is van een mobiele telefoon die op 3 juni 2006 is geregistreerd en vanaf die datum door haar wordt gebruikt. Zij stelt dat een aantal nationale wettelijke en bestuursrechtelijke bepalingen inzake de bewaring van gegevens betreffende elektronische communicaties onwettig zijn, en verzoekt de verwijzende rechter met name om richtlijn 2006/24 en deel 7 van de wet van 2005 inzake het strafrecht (terroristische misdrijven) [Criminal Justice (Terrorist Offences) Act 2005] ongeldig te verklaren. Volgens deel 7 van deze wet moeten aanbieders van telefonische communicatiediensten de op deze diensten betrekking hebbende verkeers‑ en localisatiegegevens gedurende een in de wet vastgelegde termijn bewaren om de mogelijkheid te bieden strafbare feiten te voorkomen, op te sporen, te onderzoeken en te vervolgen en de staatsveiligheid te waarborgen.

18      Aangezien de High Court van oordeel is dat zij de voorgelegde nationaalrechtelijke kwesties niet kan beslechten zonder dat de geldigheid van richtlijn 2006/24 is onderzocht, heeft zij de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Is de beperking van de rechten van verzoekster in verband met het gebruik van mobiele telefonie, welke voortvloeit uit de vereisten van de artikelen 3, 4 en 6 van richtlijn 2006/24, onverenigbaar met artikel 5, lid 4, VEU, voor zover zij onevenredig is en niet noodzakelijk of niet geschikt is om de volgende legitieme doelen te bereiken:

a)      het mogelijk maken dat bepaalde gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige strafbare feiten?

en/of

b)      het waarborgen van de goede werking van de interne markt van de Europese Unie?

2)      Meer bepaald,

a)      is richtlijn 2006/24 verenigbaar met het in artikel 21 VWEU vervatte recht van de burgers om vrij op het grondgebied van de lidstaten te reizen en te verblijven?

b)      is richtlijn 2006/24 verenigbaar met het in artikel 7 van het [Handvest van de grondrechten van de Europese Unie (hierna: ‚Handvest’)] en artikel 8 EVRM vervatte recht op eerbiediging van het privéleven?

c)      is richtlijn 2006/24 verenigbaar met het in artikel 8 van het Handvest vervatte recht op bescherming van persoonsgegevens?

d)      is richtlijn 2006/24 verenigbaar met het in artikel 11 van het Handvest en artikel 10 EVRM vervatte recht op vrijheid van meningsuiting?

e)      is richtlijn 2006/24 verenigbaar met het in artikel 41 van het Handvest vervatte recht op behoorlijk bestuur?

3)      In hoeverre vereisen de Verdragen – en in het bijzonder het in artikel 4, lid 3, VEU vervatte beginsel van loyale samenwerking – dat een nationale rechterlijke instantie onderzoekt en beoordeelt of de nationale maatregelen ter uitvoering van richtlijn 2006/24 verenigbaar zijn met de bescherming die wordt geboden door het Handvest, waaronder artikel 7 daarvan (zoals geïnspireerd door artikel 8 EVRM)?”

 Zaak C‑594/12

19      Aan de oorsprong van het verzoek om een prejudiciële beslissing in zaak C‑594/12 liggen verschillende beroepen die bij het Verfassungsgerichtshof zijn ingesteld door de Kärntner Landesregierung, enerzijds, en Seitlinger, Tschohl en 11 128 andere verzoekers, anderzijds. Zij hebben verzocht om nietigverklaring van artikel 102 bis van de wet van 2003 inzake telecommunicatie (Telekommunikationsgesetz 2003), dat bij de federale wet tot wijziging van deze wet (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl I, 27/2011) in deze wet is ingevoegd met het oog op de omzetting van richtlijn 2006/24 in het nationale Oostenrijkse recht. Volgens hen is artikel 102 bis met name in strijd met het fundamentele recht van particulieren op bescherming van hun gegevens.

20      Het Verfassungsgerichtshof vraagt zich met name af of richtlijn 2006/24 verenigbaar is met het Handvest, voor zover zij de mogelijkheid biedt om gedurende een lange termijn een groot aantal gegevens betreffende een onbeperkt aantal personen te bewaren. De bewaring van de gegevens betreft bijna uitsluitend personen van wie het gedrag geenszins rechtvaardigt dat gegevens over hen worden bewaard. Deze personen worden aan een verhoogd risico blootgesteld dat de autoriteiten hun gegevens onderzoeken, kennis nemen van de inhoud ervan, in hun privéleven gaan graven en deze gegevens voor tal van doeleinden gebruiken, met name gelet op het ontelbare aantal personen dat gedurende een periode van ten minste zes maanden toegang heeft tot deze gegevens. De verwijzende rechter betwijfelt of deze richtlijn geschikt is om de nagestreefde doelstellingen te bereiken en of de inmenging in de betrokken fundamentele rechten evenredig is.

21      In die omstandigheden heeft het Verfassungsgerichtshof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Geldigheid van handelingen van instellingen van de Unie:

Zijn de artikelen 3 tot en met 9 van [richtlijn 2006/24] verenigbaar met de artikelen 7, 8 en 11 van het [Handvest]?

2)      Uitlegging van de Verdragen:

a)      Moeten, gelet op de toelichting op artikel 8 van het Handvest, die overeenkomstig artikel 52, lid 7, daarvan is opgesteld om richting te geven aan de uitlegging van dit Handvest en door het Verfassungsgerichtshof naar behoren in acht moet worden genomen, richtlijn 95/46 en verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens [(PB 2001, L 8, blz. 1)], bij de beoordeling van de toelaatbaarheid van inmengingen in aanmerking worden genomen op dezelfde voet als de voorwaarden van artikel 8, lid 2, en artikel 52, lid 1, van het Handvest?

b)      Hoe verhoudt het in artikel 52, lid 3, laatste zin, van het Handvest genoemde ‚recht van de Unie’ zich tot de richtlijnen op het gebied van het recht inzake gegevensbescherming?

c)      Moet, gelet op het feit dat richtlijn 95/46 en verordening nr. 45/2001 voorwaarden en beperkingen stellen aan de uitoefening van het in het Handvest neergelegde fundamentele recht op gegevensbescherming, bij de uitlegging van artikel 8 van het Handvest rekening worden gehouden met wijzigingen ten gevolge van afgeleid recht van latere datum?

d)      Heeft, gelet op artikel 52, lid 4, van het Handvest, het in artikel 53 van het Handvest neergelegde beginsel van voorrang van het hogere beschermingsniveau tot gevolg dat de in het Handvest neergelegde grenzen voor de toelaatbare beperkingen door afgeleid recht nauwer moeten worden afgebakend?

e)      Kunnen, gelet op artikel 52, lid 3, van het Handvest, de vijfde alinea van de preambule en de toelichting op artikel 7 van het Handvest, volgens welke de in artikel 7 gewaarborgde rechten corresponderen met de rechten die in artikel 8 EVRM zijn gewaarborgd, aan de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM criteria worden ontleend voor de uitlegging van artikel 8 van het Handvest, die de uitlegging van laatstgenoemd artikel beïnvloeden?”

22      Bij beschikking van de president van het Hof van 11 juni 2013 zijn de zaken C‑293/12 en C‑594/12 gevoegd voor de mondelinge behandeling en voor het arrest.

 Beantwoording van de prejudiciële vragen

 Tweede vraag, sub b tot en met d, in zaak C‑293/12 en eerste vraag in zaak C‑594/12

23      Met de tweede vraag, sub b tot en met d, in zaak C‑293/12 en de eerste vraag in zaak C‑594/12, die samen moeten worden onderzocht, verzoeken de verwijzende rechters het Hof in wezen om de geldigheid van richtlijn 2006/24 te toetsen aan de artikelen 7, 8 en 11 van het Handvest.

 Relevantie van de artikelen 7, 8 en 11 van het Handvest voor de geldigheid van richtlijn 2006/24

24      Blijkens artikel 1 en de punten 4, 5, 7 tot en met 11, 21 en 22 van de considerans van richtlijn 2006/24 heeft deze richtlijn voornamelijk tot doel een harmonisatie tot stand te brengen van de bepalingen op grond waarvan aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk bepaalde door hen gegenereerde of verwerkte gegevens moeten bewaren om te garanderen dat die gegevens beschikbaar zijn, teneinde de mogelijkheid te bieden ernstige criminaliteit, zoals georganiseerde misdaad en terrorisme, te voorkomen, te onderzoeken, op te sporen en te vervolgen, dit met inachtneming van de in de artikelen 7 en 8 van het Handvest neergelegde rechten.

25      De in artikel 3 van richtlijn 2006/24 bedoelde verplichting van aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk om de in artikel 5 van deze richtlijn genoemde gegevens te bewaren om ze in voorkomend geval ter beschikking te stellen van de bevoegde nationale autoriteiten roept vragen op betreffende de door artikel 7 van het Handvest geboden bescherming van het privéleven en communicaties, de door artikel 8 van dit Handvest geboden bescherming van persoonsgegevens en de eerbiediging van de door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting.

26      Dienaangaande zij opgemerkt dat de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk op grond van de artikelen 3 en 5 van richtlijn 2006/24 met name die gegevens moeten bewaren die nodig zijn om de bron en de bestemming van een communicatie te traceren en te identificeren, om de datum, het tijdstip en de duur van de communicatie en het type communicatie te bepalen, om de communicatieapparatuur van de gebruikers te identificeren en om de locatie van mobiele communicatieapparatuur te bepalen. Deze gegevens omvatten met name de naam en het adres van de abonnee of de geregistreerde gebruiker, het telefoonnummer van de oproeper en het opgeroepen nummer, alsook een IP-adres voor internetdiensten. Aan de hand van deze gegevens kan met name worden nagegaan met welke persoon en via welke weg een abonnee of geregistreerde gebruiker heeft gecommuniceerd, hoe lang de communicatie heeft geduurd en vanaf welke plaats zij heeft plaatsgevonden. Bovendien kan aan de hand van deze gegevens worden achterhaald hoe vaak de abonnee of de geregistreerde gebruiker gedurende een bepaalde periode met bepaalde personen heeft gecommuniceerd.

27      Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.

28      Hoewel richtlijn 2006/24 niet het recht verleent om de inhoud van de communicatie en de met behulp van een elektronisch communicatienetwerk geraadpleegde informatie te bewaren, zoals blijkt uit de artikelen 1, lid 2, en 5, lid 2, ervan, is het dus niet uitgesloten dat de bewaring van de betrokken gegevens een invloed heeft op de wijze waarop abonnees of geregistreerde gebruikers de in deze richtlijn bedoelde communicatiemiddelen gebruiken en derhalve op de wijze waarop zij hun door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting uitoefenen.

29      De bewaring van de gegevens met het oog op de eventuele raadpleging ervan door de bevoegde nationale autoriteiten, zoals bedoeld in richtlijn 2006/24, raakt rechtstreeks en specifiek het privéleven en dus de door artikel 7 van het Handvest gewaarborgde rechten. Een dergelijke bewaring van gegevens valt bovendien onder artikel 8 van dit Handvest omdat het gaat om een verwerking van persoonsgegevens in de zin van dit artikel. Zij moet bijgevolg noodzakelijkerwijs voldoen aan de uit dit artikel voortvloeiende vereisten inzake gegevensbescherming (arrest Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punt 47).

30      De prejudiciële verwijzingen in de onderhavige zaken werpen met name de principiële vraag op of de gegevens van abonnees en geregistreerde gebruikers al dan niet mogen worden bewaard, gelet op artikel 7 van het Handvest, maar zij hebben ook betrekking op de vraag of richtlijn 2006/24 voldoet aan de uit artikel 8 van het Handvest voortvloeiende vereisten inzake de bescherming van persoonsgegevens.

31      Gelet op het bovenstaande dient ter beantwoording van de tweede vraag, sub b tot en met d, in zaak C‑293/12 en de eerste vraag in zaak C‑594/12 de geldigheid van de richtlijn te worden getoetst aan de artikelen 7 en 8 van het Handvest.

 Bestaan van inmenging in de in de artikelen 7 en 8 van het Handvest neergelegde rechten

32      Door te bepalen dat de in artikel 5, lid 1, van richtlijn 2006/24 genoemde gegevens moeten worden bewaard, en de bevoegde nationale autoriteiten de mogelijkheid te verlenen deze gegevens te raadplegen, wijkt deze richtlijn, zoals de advocaat-generaal met name in de punten 39 en 40 van zijn conclusie heeft opgemerkt, af van de regeling tot bescherming van het recht op eerbiediging van het privéleven bij de verwerking van persoonsgegevens in de sector van de elektronische communicatie, zoals deze is vastgesteld in de richtlijnen 95/46 en 2002/58, die bepaalden dat communicaties en verkeersgegevens vertrouwelijk zijn en dat deze gegevens moeten worden gewist of anoniem moeten worden gemaakt wanneer zij niet langer noodzakelijk zijn voor de transmissie van een communicatie, tenzij zij nodig zijn ten behoeve van de facturering, maar enkel zolang deze noodzaak bestaat.

33      Voor de vaststelling van een inmenging in het fundamentele recht op eerbiediging van de persoonlijke levenssfeer is het van weinig belang of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden (zie in die zin arrest Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punt 75).

34      Hieruit volgt dat de door de artikelen 3 en 6 van richtlijn 2006/24 aan aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk opgelegde verplichting om gegevens betreffende het privéleven van een persoon en zijn communicaties, zoals die welke zijn bedoeld in artikel 5 van deze richtlijn, gedurende een bepaalde tijd te bewaren, op zich een inmenging vormt in de door artikel 7 van het Handvest gewaarborgde rechten.

35      Bovendien vormt de toegang van de bevoegde nationale autoriteiten tot de gegevens een aanvullende inmenging in dat fundamentele recht (zie met betrekking tot artikel 8 EVRM, arresten EHRM, Leander/Zweden, 26 maart 1987, reeks A nr. 116, § 48; Rotaru/Roemenië [Grote kamer], nr. 28341/95, § 46, CEDH 2000-V, en Weber en Saravia/Duitsland (dec.), nr. 54934/00, § 79, CEDH 2006-XI). De artikelen 4 en 8 van richtlijn 2006/24, die de toegang van de bevoegde nationale autoriteiten tot de gegevens regelen, vormen dus eveneens een inmenging in de door artikel 7 van het Handvest gewaarborgde rechten.

36      Richtlijn 2006/24 vormt ook een inmenging in het door artikel 8 van het Handvest gewaarborgde fundamentele recht op bescherming van persoonsgegevens, aangezien zij voorziet in de verwerking van persoonsgegevens.

37      Vastgesteld moet worden dat richtlijn 2006/24 een zeer ruime en bijzonder zware inmenging vormt in de door de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten, zoals de advocaat-generaal met name in de punten 77 en 80 van zijn conclusie heeft opgemerkt. Bovendien kan het feit dat de gegevens worden bewaard en later worden gebruikt zonder dat de abonnee of de geregistreerde gebruiker hierover wordt ingelicht, bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden, zoals de advocaat-generaal in de punten 52 en 72 van zijn conclusie heeft opgemerkt.

 Rechtvaardiging van de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten

38      Volgens artikel 52, lid 1, van het Handvest moeten beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen, en kunnen, met inachtneming van het evenredigheidsbeginsel, alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden.

39      Wat de wezenlijke inhoud van het fundamentele recht op eerbiediging van het privéleven en de andere door artikel 7 van het Handvest erkende rechten betreft, moet worden vastgesteld dat de door richtlijn 2006/24 voorgeschreven bewaring van gegevens weliswaar een bijzonder zware inmenging in deze rechten vormt, maar niet raakt aan de inhoud ervan, aangezien deze richtlijn, zoals blijkt uit artikel 1, lid 2, ervan, niet de mogelijkheid biedt om kennis te nemen van de inhoud zelf van de elektronische communicaties.

40      Deze bewaring van gegevens doet evenmin afbreuk aan de wezenlijke inhoud van het door artikel 8 van het Handvest erkende fundamentele recht op bescherming van persoonsgegevens, aangezien richtlijn 2006/24 in artikel 7 ervan een regel inzake gegevensbescherming en ‑beveiliging bevat op grond waarvan de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of van een publiek communicatienetwerk, onverminderd de bepalingen die zijn goedgekeurd ingevolge de richtlijnen 95/46 en 2002/58, bepaalde beginselen van gegevensbescherming en ‑beveiliging moeten respecteren. Volgens deze beginselen moeten de lidstaten ervoor zorgen dat passende technische en organisatorische maatregelen worden genomen om te vermijden dat de gegevens per ongeluk of onrechtmatig worden vernietigd dan wel per ongeluk verloren geraken of worden gewijzigd.

41      Met betrekking tot de vraag of deze inmenging voldoet aan een doel van algemeen belang, zij opgemerkt dat richtlijn 2006/24 weliswaar strekt tot harmonisatie van de bepalingen van de lidstaten betreffende de verplichtingen van bovengenoemde aanbieders inzake de bewaring van bepaalde gegevens die door hen worden gegenereerd of verwerkt, maar dat het materiële doel van deze richtlijn, zoals blijkt uit artikel 1, lid 1, ervan, erin bestaat te garanderen dat die gegevens beschikbaar zijn met het oog op het onderzoek, de opsporing en de vervolging van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten. Deze richtlijn heeft dus materieel tot doel om tot de bestrijding van ernstige criminaliteit en aldus uiteindelijk tot de openbare veiligheid bij te dragen.

42      Volgens de rechtspraak van het Hof vormt de bestrijding van terrorisme ter handhaving van de internationale vrede en veiligheid een doel van algemeen belang van de Unie (zie in die zin arresten Kadi en Al Barakaat International Foundation/Raad en Commissie, C‑402/05 P en C‑415/05 P, EU:C:2008:461, punt 363, en Al-Aqsa/Raad, C‑539/10 P en C‑550/10 P, EU:C:2012:711, punt 130). Hetzelfde geldt voor de bestrijding van ernstige criminaliteit ter waarborging van de openbare veiligheid (zie in die zin arrest Tsakouridis, C‑145/09, EU:C:2010:708, punten 46 en 47). In dit verband zij voorts opgemerkt dat artikel 6 van het Handvest bepaalt dat eenieder niet alleen recht heeft op vrijheid, maar ook op veiligheid.

43      Dienaangaande blijkt uit punt 7 van de considerans van richtlijn 2006/24 dat de Raad justitie en binnenlandse zaken van 19 december 2002 wegens de opmerkelijke toename van de mogelijkheden van elektronische communicatie heeft geoordeeld dat gegevens betreffende het gebruik daarvan van bijzonder belang zijn en dus een waardevol instrument vormen bij het voorkomen van strafbare feiten en het bestrijden van criminaliteit, met name van de georganiseerde misdaad.

44      De door richtlijn 2006/24 voorgeschreven bewaring van gegevens, die de bevoegde nationale autoriteiten de mogelijkheid moet bieden om deze eventueel te raadplegen, beantwoordt dus daadwerkelijk aan een doel van algemeen belang.

45      In deze omstandigheden moet worden nagegaan of de vastgestelde inmenging evenredig is.

46      Dienaangaande zij eraan herinnerd dat het evenredigheidsbeginsel volgens vaste rechtspraak van het Hof vereist dat handelingen van de instellingen van de Unie geschikt zijn om de door de betrokken regeling nagestreefde legitieme doelstellingen te verwezenlijken en niet verder gaan dan wat daarvoor geschikt en noodzakelijk is (zie in die zin arresten Afton Chemical, C‑343/09, EU:C:2010:419, punt 45; Volker und Markus Schecke en Eifert, EU:C:2010:662, punt 74; Nelson e.a., C‑581/10 en C‑629/10, EU:C:2012:657, punt 71; Sky Österreich, C‑283/11, EU:C:2013:28, punt 50, en Schaible, C‑101/12, EU:C:2013:661, punt 29).

47      Wat het rechterlijk toezicht op de naleving van deze voorwaarden betreft, zij opgemerkt dat wanneer sprake is van een inmenging in fundamentele rechten, de omvang van de beoordelingsbevoegdheid van de wetgever van de Unie beperkt kan zijn. Dit hangt af van een aantal factoren, waaronder met name het betrokken domein, de aard van het door het Handvest gewaarborgde recht dat aan de orde is, alsook de aard, de ernst en het doel van de inmenging (zie naar analogie met betrekking tot artikel 8 EVRM, arrest EHRM, S en Marper/Verenigd Koninkrijk [Grote kamer], nrs. 30562/04 en 30566/04, § 102, CEDH 2008-V).

48      Gelet op de belangrijke rol die de bescherming van persoonsgegevens speelt in het licht van het fundamentele recht op bescherming van het privéleven, alsook op de omvang en de ernst van de door richtlijn 2006/24 veroorzaakte inmenging in dit recht is de beoordelingsbevoegdheid van de Uniewetgever in casu beperkt, zodat een strikt toezicht moet worden uitgeoefend.

49      Met betrekking tot de vraag of het door richtlijn 2006/24 nagestreefde doel kan worden verwezenlijkt door de bewaring van de gegevens, moet worden vastgesteld dat de gegevens die op grond van deze richtlijn moeten worden bewaard, gelet op het groeiende belang van elektronischecommunicatiemiddelen de nationale strafvervolgingsautoriteiten extra mogelijkheden bieden om ernstige gevallen van criminaliteit op te helderen en in die zin dus een waardevol instrument vormen bij strafonderzoeken. De bewaring van dergelijke gegevens is derhalve geschikt voor de verwezenlijking van het door deze richtlijn nagestreefde doel.

50      Aan deze beoordeling wordt niet afgedaan door de omstandigheid dat er verschillende vormen van elektronische communicatie bestaan die niet binnen de werkingssfeer van richtlijn 2006/24 vallen of die anonieme communicatie mogelijk maken, zoals met name Tschohl en Seitlinger alsook de Portugese regering in hun bij het Hof ingediende schriftelijke opmerkingen hebben aangevoerd. Dit heeft weliswaar tot gevolg dat de bewaring van gegevens niet volstrekt geschikt is om het nagestreefde doel te bereiken, maar dat betekent nog niet dat deze maatregel daarvoor ongeschikt is, zoals de advocaat-generaal in punt 137 van zijn conclusie heeft opgemerkt.

51      Wat de noodzaak van de door richtlijn 2006/24 voorgeschreven bewaring van gegevens betreft, zij vastgesteld dat de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar van primordiaal belang is om de openbare veiligheid te waarborgen, en dat de doeltreffendheid ervan in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoekstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een bewaringsmaatregel zoals die welke door richtlijn 2006/24 is ingevoerd, noodzakelijk wordt geacht voor het voeren van deze strijd.

52      Wat het recht op eerbiediging van het privéleven betreft, zij opgemerkt dat de bescherming van dit fundamentele recht volgens vaste rechtspraak van het Hof hoe dan ook vereist dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (arrest IPI, C‑473/12, EU:C:2013:715, punt 39 en aldaar aangehaalde rechtspraak).

53      Dienaangaande zij eraan herinnerd dat de bescherming van persoonsgegevens, die uitdrukkelijk wordt voorgeschreven door artikel 8, lid 1, van het Handvest, van bijzonder belang is voor het in artikel 7 van dit Handvest verankerde recht op eerbiediging van het privéleven.

54      De betrokken Unieregeling moet dus duidelijke en precieze regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevatten die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens (zie naar analogie met betrekking tot artikel 8 EVRM, arresten EHRM, Liberty e.a./Verenigd Koninkrijk, nr. 58243/00, § 62 en 63, van 1 juli 2008; Rotaru/Roemenië, reeds aangehaald, § 57‑59, en S en Marper/Verenigd Koninkrijk, reeds aangehaald, § 99).

55      De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens, zoals is bepaald in richtlijn 2006/24, automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd (zie naar analogie met betrekking tot artikel 8 EHRM, arresten EHRM, S en Marper/Verenigd Koninkrijk, reeds aangehaald, § 103, en M. K./Frankrijk, nr. 19522/09, § 35, van 18 april 2013).

56      Met betrekking tot de vraag of de inmenging die richtlijn 2006/24 meebrengt, beperkt is tot het strikt noodzakelijke, zij opgemerkt dat artikel 3 van deze richtlijn, gelezen in samenhang met artikel 5, lid 1, ervan, voorschrijft om alle verkeersgegevens betreffende vaste en mobiele telefonie, internettoegang, e-mail over het internet en internettelefonie te bewaren. Deze richtlijn strekt zich dus uit tot alle wijdverspreide elektronischecommunicatiemiddelen, die een steeds belangrijker plaats innemen in het dagelijkse leven van de mensen. Bovendien ziet deze richtlijn ingevolge artikel 3 ervan op alle abonnees en geregistreerde gebruikers. Zij leidt dus tot inmenging in de fundamentele rechten van bijna de gehele Europese bevolking.

57      Dienaangaande zij in de eerste plaats vastgesteld dat richtlijn 2006/24 algemeen van toepassing is op alle personen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel, zware criminaliteit te bestrijden.

58      Richtlijn 2006/24 is om te beginnen algemeen van toepassing op alle personen die gebruikmaken van elektronischecommunicatiediensten, zonder dat de personen van wie de gegevens worden bewaard zich echter, zelfs niet indirect, in een situatie bevinden die aanleiding kan geven tot strafrechtelijke vervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag – zelfs maar indirect of van ver – een verband vertoont met zware criminaliteit. Bovendien bevat de richtlijn geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de communicaties volgens de nationale rechtsregels onder het zakengeheim vallen.

59      Voorts beoogt deze richtlijn weliswaar bij te dragen tot de strijd tegen zware criminaliteit, maar zij vereist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkt met name de bewaring niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaalde geografische zone en/of een kring van bepaalde personen die op een of andere wijze betrokken kunnen zijn bij zware criminaliteit, of op personen voor wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij het voorkomen, opsporen of vervolgen van zware criminaliteit.

60      In de tweede plaats bevat richtlijn 2006/24 niet alleen geen beperkingen, maar ook geen objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan met het oog op het voorkomen, opsporen of strafrechtelijk vervolgen van inbreuken die, gelet op de omvang en de ernst van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten, voldoende ernstig kunnen worden geacht om een dergelijke inmenging te rechtvaardigen. Integendeel, richtlijn 2006/24 verwijst in artikel 1, lid 1, ervan enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten.

61      Bovendien bevat richtlijn 2006/24 geen materiële en procedurele voorwaarden betreffende de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. Artikel 4 van deze richtlijn, dat de toegang van deze autoriteiten tot de bewaarde gegevens regelt, bepaalt niet uitdrukkelijk dat deze toegang en het latere gebruik van de betrokken gegevens strikt gebonden zijn aan het doel, nauwkeurig afgebakende zware criminaliteit te voorkomen, op te sporen of strafrechtelijk te vervolgen, maar bepaalt enkel dat elke lidstaat de procedure en de te vervullen voorwaarden vaststelt voor toegang tot de bewaarde gegevens overeenkomstig de vereisten inzake noodzakelijkheid en evenredigheid.

62      In het bijzonder bevat richtlijn 2006/24 geen objectieve criteria op basis waarvan het aantal personen dat de bewaarde gegevens mag raadplegen en vervolgens gebruiken, kan worden beperkt tot wat strikt noodzakelijk is voor de verwezenlijking van het nagestreefde doel. Maar bovenal is de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet onderworpen aan enige voorafgaande controle door een rechterlijke instantie of een onafhankelijke administratieve instantie waarvan de beslissing beoogt om de toegang tot de gegevens en het gebruik ervan te beperken tot wat strikt noodzakelijk is ter verwezenlijking van het nagestreefde doel en die uitspraak doet op een gemotiveerd verzoek van deze autoriteiten, ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten. Aan de lidstaten is evenmin enige specifieke verplichting opgelegd om dergelijke beperkingen vast te stellen.

63      Wat in de derde plaats de termijn betreft gedurende welke de gegevens worden bewaard, bepaalt artikel 6 van richtlijn 2006/24 dat deze gedurende ten minste zes maanden moeten worden bewaard, zonder dat enig onderscheid wordt gemaakt tussen de in artikel 5 van deze richtlijn genoemde categorieën van gegevens naargelang van het nut ervan voor het nagestreefde doel of naargelang van de betrokken personen.

64      Bovendien varieert de bewaringstermijn van ten minste zes maanden tot ten hoogste vierentwintig maanden, zonder dat wordt gepreciseerd dat deze termijn op basis van objectieve criteria moet worden vastgesteld om te waarborgen dat hij beperkt is tot wat strikt noodzakelijk is.

65      Uit het bovenstaande volgt dat richtlijn 2006/24 geen duidelijke en precieze regels bevat betreffende de omvang van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten. Vastgesteld moet dus worden dat deze richtlijn een zeer ruime en bijzonder zware inmenging in deze fundamentele rechten in de rechtsorde van de Unie impliceert, zonder dat deze inmenging nauwkeurig is omkaderd door bepalingen die kunnen waarborgen dat zij daadwerkelijk beperkt is tot het strikt noodzakelijke.

66      Bovendien moet met betrekking tot de regels inzake de beveiliging en de bescherming van de gegevens die worden bewaard door de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk worden vastgesteld dat richtlijn 2006/24 onvoldoende garanties biedt dat de bewaarde gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik ervan, zoals wordt vereist door artikel 8 van het Handvest. In de eerste plaats bevat artikel 7 van richtlijn 2006/24 geen specifieke regels die aangepast zijn aan de enorme hoeveelheid gegevens die volgens deze richtlijn moeten worden bewaard, alsook aan het gevoelige karakter van deze gegevens en aan het risico dat zij op onrechtmatige wijze zullen worden geraadpleegd, en die met name ertoe strekken de bescherming en de beveiliging van de betrokken gegevens duidelijk en strikt te regelen om de volle integriteit en vertrouwelijkheid ervan te waarborgen. Bovendien is aan de lidstaten ook geen specifieke verplichting opgelegd om dergelijke regels vast te stellen.

67      Artikel 7 van richtlijn 2006/24, gelezen in samenhang met artikel 4, lid 1, van richtlijn 2002/58 en artikel 17, lid 1, tweede alinea, van richtlijn 95/46, waarborgt niet dat bovengenoemde aanbieders via technische en organisatorische maatregelen een bijzonder hoog niveau van bescherming en beveiliging bieden, maar verleent deze aanbieders met name de mogelijkheid om bij de vaststelling van het door hen geboden beschermingsniveau rekening te houden met economische overwegingen, meer bepaald met de kosten voor het uitvoeren van de veiligheidsmaatregelen. In het bijzonder waarborgt richtlijn 2006/24 niet dat de gegevens na de bewaarperiode onherroepelijk worden vernietigd.

68      In de tweede plaats schrijft deze richtlijn niet voor dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard, zodat niet ten volle is gewaarborgd dat een onafhankelijke autoriteit toezicht houdt op de inachtneming van de in de twee vorige punten bedoelde vereisten inzake bescherming en beveiliging, zoals uitdrukkelijk wordt voorgeschreven door artikel 8, lid 3, van het Handvest. Een dergelijk toezicht op basis van het Unierecht is evenwel van wezenlijk belang voor de bescherming van personen bij de verwerking van persoonsgegevens (zie in die zin arrest Commissie/Oostenrijk, C‑614/10, EU:C:2012:631, punt 37).

69      Gelet op een en ander moet worden geoordeeld dat de wetgever van de Unie met de vaststelling van richtlijn 2006/24 de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7, 8 en 52, lid 1, van het Handvest in acht dient te nemen.

70      Derhalve hoeft de geldigheid van richtlijn 2006/24 niet te worden getoetst aan artikel 11 van het Handvest.

71      Bijgevolg moet op de tweede vraag, sub b tot en met d, in zaak C‑293/12 en de eerste vraag in zaak C‑594/12 worden geantwoord dat richtlijn 2006/24 ongeldig is.

 Eerste vraag, tweede vraag, sub a en e, en derde vraag in zaak C‑293/12 en tweede vraag in zaak C‑594/12

72      Gelet op de vaststelling in het vorige punt hoeft niet te worden geantwoord op de eerste vraag, de tweede vraag, sub a en e, en de derde vraag in zaak C‑293/12 en evenmin op de tweede vraag in zaak C‑594/12.

 Kosten

73      Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG, is ongeldig.

ondertekeningen


* Procestalen: Engels en Duits.