Language of document : ECLI:EU:C:2014:238

DOMSTOLENS DOM (stora avdelningen)

den 8 april 2014 (*)

”Elektronisk kommunikation – Direktiv 2006/24/EG – Allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät – Lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av sådana tjänster – Giltighet – Artiklarna 7, 8 och 11 i Europeiska unionens stadga om de grundläggande rättigheterna”

I de förenade målen C‑293/12 och C‑594/12,

angående två beslut att begära förhandsavgörande enligt artikel 267 FEUF, från High Court (Irland) och Verfassungsgerichtshof (Österrike), av den 27 januari respektive den 28 november 2012 som inkom till domstolen den 11 juni respektive den 19 december 2012, i målen

Digital Rights Ireland Ltd (C‑293/12)

mot

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Irland,

The Attorney General,

ytterligare deltagare i rättegången:

Irish Human Rights Commission,

och

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl m.fl.

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden V. Skouris, vice ordföranden K. Lenaerts, avdelningsordförandena A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (referent), E. Juhász, A. Borg Barthet, C.G. Fernlund och J.L. da Cruz Vilaça samt domarna A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, C. Toader och C. Vajda,

generaladvokat: P. Cruz Villalón,

justitiesekreterare: handläggaren K. Malacek,

efter det skriftliga förfarandet och förhandlingen den 9 juli 2013,

med beaktande av de yttranden som avgetts av:

–        Digital Rights Ireland Ltd, genom F. Callanan, SC, och F. Crehan, BL, befullmäktigade av S. McGarr, solicitor,

–        Michael Seitlinger, genom G. Otto, Rechtsanwalt,

–        Christof Tschohl m.fl., genom E. Scheucher, Rechtsanwalt,

–        Irish Human Rights Commission, genom P. Dillon Malone, BL, befullmäktigad av S. Lucey, solicitor,

–        Irlands regering, genom E. Creedon och D. McGuinness, båda i egenskap av ombud, biträdda av E. Regan, SC, och D. Fennelly, JC,

–        Österrikes regering, genom G. Hesse och G. Kunnert, båda i egenskap av ombud, 

–        Spaniens regering, genom N. Díaz Abad, i egenskap av ombud,

–        Frankrikes regering, genom G. de Bergues, D. Colas och B. Beaupère-Manokha, samtliga i egenskap av ombud,

–        Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av A. De Stefano, avvocato dello Stato,

–        Polens regering, genom B. Majczyna och M. Szpunar, båda i egenskap av ombud,

–        Portugals regering, genom L. Inez Fernandes och C. Vieira Guerra, båda i egenskap av ombud,

–        Förenade kungarikets regering, genom L. Christie, i egenskap av ombud, biträdd av S. Lee, barrister,

–        Europaparlamentet, genom U. Rösslein, A. Caiola och K. Zejdová, samtliga i egenskap av ombud,

–        Europeiska unionens råd, genom J. Monteiro, E. Sitbon och I. Šulce, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom D. Maidani, B. Martenczuk och M. Wilderspin, samtliga i egenskap av ombud,

och efter att den 12 december 2013 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Respektive begäran om förhandsavgörande avser giltigheten av Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, s. 54).

2        High Courts begäran (mål C‑293/12) har framställts i ett mål mellan, å ena sidan, Digital Rights Ireland Ltd (nedan kallat Digital Rights) och, å andra sidan, Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irland och Attorney General. Målet avser lagenligheten av nationella lagstiftnings- och myndighetsåtgärder som vidtagits beträffande lagringen av uppgifter om elektroniska kommunikationer.

3        Verfassungsgerichtshofs begäran (mål C‑594/12) har framställts i ett antal mål avseende prövningen av förenligheten med den federala grundlagen (Bundes‑Verfassungsgesetz) av den lag genom vilken direktiv 2006/24 införlivats med österrikisk rätt. Dessa mål har anhängiggjorts av Kärntner Landesregierung (delstaten Kärntens regering) respektive Michael Seitlinger, Christof Tschohl och 11 128 andra sökande.

 Tillämpliga bestämmelser

 Direktiv 95/46/EG

4        Enligt artikel 1.1 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31) har direktivet till syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, i samband med behandlingen av personuppgifter.

5        I fråga om säkerheten vid behandlingen av personuppgifter föreskrivs följande i artikel 17.1 i direktivet:

”Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.

Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.”

 Direktiv 2002/58/EG

6        Enligt artikel 1.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, s. 11) (nedan kallat direktiv 2002/58) har direktivet till syfte att harmonisera medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet och till konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom Europeiska unionen. Enligt artikel 1.2 preciserar och kompletterar bestämmelserna i direktivet bestämmelserna i direktiv 95/46 för de ändamål som avses i artikel 1.1.

7        I artikel 4 i direktiv 2002/58 föreskrivs följande beträffande säkerheten vid behandlingen av uppgifter:

”1. Leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst skall vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder skall säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna.

1a. Utan att det påverkar tillämpningen av direktiv 95/46/EG ska de åtgärder som avses i punkt 1 minst

–        säkerställa att endast auktoriserad personal, och endast i lagligen tillåtna syften, får tillgång till personuppgifter,

–        skydda personuppgifter som lagrats eller överförts mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring samt mot icke auktoriserad eller olaglig lagring och behandling eller icke auktoriserat eller olagligt tillträde eller offentliggörande, och

–        säkerställa införandet av en säkerhetsstrategi för behandling av personuppgifter.

De behöriga nationella myndigheterna ska kunna granska de åtgärder som vidtas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster och utfärda rekommendationer om bästa praxis beträffande den säkerhetsnivå som bör uppnås med hjälp av dessa åtgärder.

2. Om det föreligger särskilda risker för brott mot nätsäkerheten, skall leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst informera abonnenterna om sådana risker och, om risken ligger utanför tillämpningsområdet för de åtgärder som tjänsteleverantören skall vidta, om hur de kan avhjälpas, inbegripet en uppgift om de sannolika kostnader som detta kan medföra.”

8        I artikel 5.1 och 5.3 i direktiv 2002/58 föreskrivs följande beträffande konfidentialiteten vid kommunikation och beträffande trafikuppgifter:

”1. Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster.  De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Denna punkt får inte förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.

...

3. Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”

9        I artikel 6.1 i direktiv 2002/58 föreskrivs följande:

”Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.”

10      I artikel 15.1 i direktiv 2002/58 föreskrivs följande:

”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

 Direktiv 2006/24

11      Efter samråd med företrädare för brottsbekämpande myndigheter, kommunikationssektorn och dataskyddsexperter lade kommissionen den 21 september 2005 fram en konsekvensanalys av de politiska alternativen beträffande lagringen av trafikuppgifter (nedan kallad konsekvensanalysen). Konsekvensanalysen utgjorde grunden för utarbetandet av förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (KOM(2005) 438 slutlig) (nedan kallat förslaget till direktiv), vilket lades fram samma dag. Förslaget ledde fram till antagandet av direktiv 2006/24 med stöd av artikel 95 EG.

12      Skäl 4 i direktiv 2006/24 har följande lydelse:

”I artikel 15.1 i direktiv 2002/58/EG fastställs de villkor på vilka medlemsstaterna får begränsa omfattningen av de rättigheter och skyldigheter som anges i artiklarna 5 och 6 samt artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i det direktivet. Varje sådan begränsning måste anses vara nödvändig, lämplig och proportionell i ett demokratiskt samhälle för den allmänna ordningens skull, dvs. för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet eller för att förebygga, utreda, avslöja och åtala brott eller för obehörig användning av ett elektroniskt kommunikationssystem.”

13      Enligt den första meningen i skäl 5 i direktivet har ”[f]lera medlemsstater … antagit lagstiftning om leverantörers skyldighet att lagra trafikuppgifter för att kunna förebygga, utreda, avslöja och åtala brott”.

14      Skälen 7–11 i direktiv 2006/24 har följande lydelse:

”(7)      I slutsatserna från rådet (rättsliga och inrikes frågor) av den 19 december 2002 understryks det att eftersom omfattningen av elektronisk kommunikation ökat avsevärt är uppgifter om användningen av sådan kommunikation särskilt viktiga och därför ett värdefullt verktyg när det gäller att förebygga, utreda, avslöja och åtala brott, särskilt organiserad brottslighet.

(8)      I Europeiska rådets uttalande om kampen mot terrorism av den 25 mars 2004 ges rådet i uppdrag att undersöka åtgärder om fastställande av regler för lagring av trafikuppgifter från kommunikation hos tjänsteoperatörer.

(9)      Enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [nedan kallad Europakonventionen] har alla personer rätt till skydd för sitt privatliv och sin korrespondens. En offentlig myndighets inblandning i utövandet av denna rättighet får bara ske i enlighet med vad som är stadgat i lag och om det är nödvändigt i ett demokratiskt samhälle, bland annat med hänsyn till landets nationella säkerhet eller den allmänna säkerheten, för att förebygga oordning eller brott eller för att skydda andra personers fri- och rättigheter. Eftersom lagring av uppgifter har visat sig vara ett så nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater och framför allt i allvarliga fall som organiserad brottslighet och terrorism är det därför nödvändigt att se till att brottsbekämpande myndigheter får tillgång till lagrade uppgifter under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv. …

(10)      Den 13 juli 2005 upprepade rådet i sitt uttalande om fördömande av bombattentaten i London behovet av att så snart som möjligt anta gemensamma åtgärder om lagring av telekommunikationsuppgifter.

(11)      Med tanke på hur viktiga trafik- och lokaliseringsuppgifter är för att kunna utreda, avslöja och åtala brott, något som framkommit både genom forskning och genom medlemsstaternas praktiska erfarenheter, är det viktigt att på europeisk nivå säkerställa att uppgifter som vid tillhandahållande av kommunikationstjänster genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller av allmänna kommunikationsnät lagras under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv.”

15      I skälen 16, 21 och 22 i direktivet anges följande:

”(16)      De skyldigheter som i enlighet med artikel 6 i direktiv 95/46/EG åligger tjänsteleverantörerna när det gäller åtgärder för att garantera uppgifternas kvalitet och de skyldigheter i enlighet med artiklarna 16 och 17 i det direktivet som åligger dem när det gäller åtgärder för att garantera sekretess och säkerhet vid behandlingen av uppgifter är fullt tillämpbara för uppgifter som lagras i enlighet med detta direktiv.

(21)      Eftersom målen med detta direktiv, nämligen att harmonisera leverantörernas skyldighet att lagra vissa uppgifter och säkerställa att de är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför på grund av detta direktivs omfattning och verkningar bättre kan uppnås på gemenskapsnivå, får gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(22)      Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i Europeiska unionens stadga om grundläggande rättigheter. Detta direktiv tillsammans med direktiv 2002/58/EG syftar särskilt att säkerställa full respekt för medborgarnas grundläggande rättigheter med avseende på privatlivet och kommunikationer samt skyddet av deras personuppgifter (artiklarna 7 och 8 i stadgan).”

16      I direktiv 2006/24 föreskrivs en skyldighet för leverantörerna av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra vissa uppgifter som de genererat eller behandlat. I artiklarna 1–9, 11 och 13 i direktivet föreskrivs följande i fråga om denna skyldighet:

Artikel 1

Syfte och tillämpningsområde

1.      Syftet med detta direktiv är att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen.

2.      Detta direktiv skall gälla trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer och enheter, samt de uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren. Det skall inte vara tillämpligt på innehållet i elektronisk kommunikation, inklusive sådan information som användaren sökt med hjälp av ett elektroniskt kommunikationsnät.

Artikel 2

Definitioner

1.      I detta direktiv skall definitionerna i direktiv 95/46/EG, Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) … samt direktiv 2002/58/EG gälla.

2.      I detta direktiv avses med

a)       uppgifter: trafik- och lokaliseringsuppgifter samt de uppgifter som behövs för att identifiera en abonnent eller användare,

b)      användare: en fysisk eller juridisk person eller enhet som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk, utan att nödvändigtvis ha abonnerat på denna tjänst,

c)      telefonitjänst: uppringning (inbegripet rösttelefoni, röstmeddelanden, konferenssamtal och datatelefoni), extratjänster (inbegripet omstyrning och överflyttning av samtal) och meddelandeförmedling och multimedietjänster (inbegripet SMS, EMS och multimedietjänster),

d)      användar-ID: ett unikt ID som tilldelas personer när de abonnerar på eller registrerar sig på en Internetåtkomsttjänst eller en Internetkommunikationstjänst,

e)      lokaliseringsbeteckning (cell-ID): identiteten hos den cell från vilken ett mobiltelefonsamtal påbörjades eller avslutades,

f)      misslyckade uppringningsförsök: en kommunikation då ett telefonsamtal kopplats men inget svar erhållits eller när det skett ett ingrepp av driften i kommunikationsnätet.

Artikel 3

Skyldighet att lagra uppgifter

1.      Genom avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58/EG skall medlemsstaterna anta åtgärder för att säkerställa lagring enligt bestämmelserna i det här direktivet av de uppgifter som specificeras i artikel 5 i detta, i den utsträckning som de genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium i samband med att leverantörerna levererar de kommunikationstjänster som berörs.

2.      Den lagringsskyldighet som anges i punkt 1 skall inbegripa lagring av sådana uppgifter som anges i artikel 5 rörande misslyckade uppringningsförsök där uppgifter genereras eller behandlas, och lagras (uppgifter rörande telefoni) eller loggas (uppgifter rörande Internet) av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom den berörda medlemsstatens jurisdiktion i samband med att de levererar de berörda kommunikationstjänsterna. Detta direktiv skall inte innebära krav på lagring av uppgifter rörande samtal som inte kopplats fram.

Artikel 4

Tillgång till uppgifter

Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt [Europakonventionen], i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter.

Artikel 5

Kategorier av uppgifter som skall lagras

1. Medlemsstaterna skall säkerställa att följande kategorier av uppgifter lagras i enlighet med direktivet:

a)      Uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla:

1)      Telefoni i fasta nät och mobil telefoni:

i)      Det uppringande telefonnumret.

ii)      Abonnentens eller den registrerade användarens namn och adress.

2)      Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)      Tilldelade användar-ID.

ii)      Användar-ID och telefonnummer vilka tilldelats kommunikationen i det allmänna telenätet.

iii)      Namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), användaridentiteten eller telefonnumret tilldelades vid tidpunkten för kommunikationen.

b)      Uppgifter som är nödvändiga för att identifiera slutmålet för en kommunikation:

1)      Telefoni i fasta nät och mobil telefoni:

i)      Det eller de nummer som slagits (det eller de uppringda telefonnumren), och, i fall som berör tilläggstjänster såsom omstyrning och överflyttning av samtal, det eller de nummer till vilket eller vilka som samtalet styrs.

ii)      Abonnentens (abonnenternas) eller den eller de registrerade användarnas namn och adress.

2)      Internetbaserad e-post och Internettelefoni:

i)      Användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal.

ii)      Namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-ID som tilldelats den avsedda mottagaren av kommunikationen.

c)      Uppgifter som är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation:

1)      Telefoni i fasta nät och mobil telefoni: datum och tid då kommunikationen påbörjades och avslutades.

2)      Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)      Datum och tid för på- respektive avloggning i Internetåtkomsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstleverantören till en kommunikation och abonnents eller registrerad användares användar-ID.

ii)      Datum och tid för på- respektive avloggning i den Internetbaserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon.

d)      Uppgifter som är nödvändiga för att identifiera typen av kommunikation.

1)      Telefoni i fasta nät och mobil telefoni: Den telefonitjänst som används.

2)      Internetbaserad e-post och Internettelefoni: Den Internettjänst som används.

e)      Uppgifter som är nödvändiga för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

1)      Telefoni i fasta nät: det uppringande och det uppringda telefonnumret.

2)      Mobil telefoni:

i)      Det uppringande och det uppringda telefonnumret.

ii)      Den uppringande partens IMSI (International Mobile Subscriber Identity).

iii)      Den uppringande partens IMEI (International Mobile Equipment Identity).

iv)      Den uppringda partens IMSI.

v)      Den uppringda partens IMEI.

vi)      Vid förbetalda anonyma tjänster, datum och tid för den första aktiveringen av tjänsten och den lokaliseringsbeteckning (cell-ID) från vilken tjänsten aktiverades.

3)      Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)      Det uppringande telefonnumret för uppringda förbindelser.

ii)      DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare.

f)      Uppgifter som är nödvändiga för att identifiera lokaliseringen av mobil kommunikationsutrustning.

1)      Lokaliseringsbeteckning (cell-ID) för kommunikationens början.

2)      Uppgifter som identifierar cellernas geografiska placering genom referens till deras lokaliseringsbeteckning (cell-ID) under den period som kommunikationsuppgifterna lagras.

2. Inga uppgifter som avslöjar kommunikationens innehåll får lagras i enlighet med detta direktiv.

Artikel 6

Lagringstider

Medlemsstaterna skall säkerställa att de kategorier av uppgifter som anges i artikel 5 lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.

Artikel 7

Uppgiftsskydd och datasäkerhet

Utan att det påverkar tillämpningen av de bestämmelser som antagits i enlighet med direktiv 95/46/EG och direktiv 2002/58/EG skall varje medlemsstat säkerställa att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät som ett minimum respekterar följande principer för datasäkerhet när det gäller uppgifter som lagras i enlighet med det här direktivet:

a)      De lagrade uppgifterna skall vara av samma kvalitet och vara föremål för samma säkerhet och skydd som uppgifterna i nätverket.

b)      Uppgifterna skall omfattas av lämpliga tekniska och organisatoriska åtgärder för att skyddas mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifterna.

c)      Uppgifterna skall omfattas av lämpliga tekniska och organisatoriska åtgärder, för att säkerställa att tillgång till dem endast ges särskilt bemyndigad personal.

d)      Uppgifterna skall förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång har medgivits och som har bevarats.

Artikel 8

Krav för lagring av uppgifter

Medlemsstaterna skall säkerställa att uppgifter som anges i artikel 5 lagras i enlighet med detta direktiv på ett sådant sätt att uppgifterna och annan nödvändig information som är relaterad till uppgifterna utan dröjsmål kan överföras till de behöriga myndigheterna när de begär det.

Artikel 9

Tillsynsmyndighet

1. Varje medlemsstat skall utse en eller flera offentliga myndigheter som skall ansvara för att inom landets territorium övervaka tillämpningen av de bestämmelser om lagrade uppgifters säkerhet som antagits av medlemsstaterna i enlighet med artikel 7. Dessa myndigheter får vara desamma som de som avses i artikel 28 i direktiv 95/46/EG.

2. De myndigheter som avses i punkt 1 skall vara helt oberoende när de utövar de övervakningsuppgifter som avses i den punkten.

...

Artikel 11

Ändringar av direktiv 2002/58/EG

I artikel 15 i direktiv 2002/58/EG skall följande punkt införas:

’1a. Punkt 1 skall inte tillämpas på uppgifter som specifikt skall lagras enligt … direktiv 2006/24/EG … för de ändamål som avses i artikel 1.1 i det direktivet.’

...

Artikel 13

Prövning, ansvar och sanktioner

1.      Varje medlemsstat skall vidta nödvändiga åtgärder för att säkerställa att de nationella åtgärder som genomför kapitel III om rättslig prövning, ansvar och sanktioner i direktiv 95/46/EG genomförs med full respekt för behandlingen av uppgifter i detta direktiv.

2.      Varje medlemsstat skall särskilt vidta nödvändiga åtgärder för att säkerställa att sådan avsiktlig tillgång till eller överföring av uppgifter som lagras i enlighet med detta direktiv som är förbjuden enligt nationell lagstiftning som antagits till följd av detta direktiv beläggs med sanktioner, inbegripet administrativa eller straffrättsliga sanktioner, som är effektiva, proportionerliga och avskräckande.”

 Målen vid de nationella domstolarna och tolknings- och giltighetsfrågorna

 Mål C‑293/12

17      Digital Rights väckte talan vid High Court den 11 augusti 2006. Digital Rights påstod att bolaget var ägare av en mobiltelefon som hade registrerats den 3 juni 2006 och som bolaget hade använt sedan det datumet. Bolaget ifrågasatte lagenligheten av nationella lagstiftnings- och myndighetsåtgärder avseende lagringen av uppgifter om elektroniska kommunikationer och yrkade bland annat att High Court skulle ogiltigförklara direktiv 2006/24 och Part 7 i 2005 års brottmålslag (terroristbrott) (Criminal Justice (Terrorist Offences) Act 2005), i vilken föreskrivs att leverantörer av telefonitjänster är skyldiga att lagra uppgifter angående trafik och lokalisering avseende sådana tjänster under en i lag föreskriven tid för att förebygga, avslöja och utreda brott, för lagföring samt för att garantera statens säkerhet.

18      High Court anser att den inte kan avgöra de frågor som avser nationell rätt utan att giltigheten av direktiv 2006/24 först har prövats. High Court beslutade därför att vilandeförklara målet och ställa följande frågor till domstolen:

”1)      Är begränsningen av klagandens rättigheter avseende dennes användning av mobiltelefoni, som följer av kraven i artiklarna 3, 4 och 6 i direktiv 2006/24, oförenlig med artikel 5.4 FEU på så sätt att den är oproportionerlig och onödig eller olämplig för att uppnå de berättigade målen att

a)      säkerställa att vissa uppgifter är tillgängliga för utredning, avslöjande och åtal av allvarliga brott?

och/eller

b)      säkerställa en väl fungerande inre marknad i Europeiska unionen?

2)      Är i synnerhet

a)      direktiv 2006/24 förenligt med medborgares rätt enligt artikel 21 FEUF att fritt röra sig och uppehålla sig inom medlemsstaternas territorier?

b)      direktiv 2006/24 förenligt med rätten till respekt för privatlivet i artikel 7 i [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)] och i artikel 8 i Europakonventionen?

c)      direktiv 2006/24 förenligt med rätten till skydd av personuppgifter enligt artikel 8 i stadgan?

d)      direktiv 2006/24 förenligt med rätten till yttrandefrihet enligt artikel 11 i [stadgan] och artikel 10 i Europakonventionen?

e)      direktiv 2006/24 förenligt med rätten till god förvaltning enligt artikel 41 i stadgan?

3)      I vilken utsträckning kräver fördragen – och i synnerhet principen om lojalt samarbete enligt artikel 4.3 [FEU] – att en nationell domstol prövar och bedömer förenligheten av nationella åtgärder för införlivande av direktiv 2006/24 med skydden enligt stadgan, inbegripet artikel 7 i denna (i vilken principerna i artikel 8 i Europakonventionen uttrycks)?”

 Mål C‑594/12

19      Begäran om förhandsavgörande i mål C‑594/12 har sitt ursprung i flera mål som anhängiggjorts vid Verfassungsgerichtshof av Kärntner Landesregierung respektive Michael Seitlinger, Christof Tschohl och 11 128 andra sökande som yrkat ogiltigförklaring av 102a § i 2003 års telelag (Telekommunikationsgesetz 2003), vilken införts i nämnda lag genom en federal ändringslag (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) vars syfte är att införliva direktiv 2006/24 med österrikisk rätt. Sökandena anser även att 102a § i 2003 års telelag kränker enskildas grundläggande rätt till skydd för sina uppgifter.

20      Verfassungsgerichtshof frågar sig om direktiv 2006/24 är förenligt med stadgan, såtillvida som direktivet gör det möjligt att under en lång tid lagra ett stort antal typer av uppgifter avseende ett obegränsat antal personer. Lagringen av uppgifter skulle nästintill uteslutande avse personer vars beteende inte på något sätt motiverar att uppgifter om dem lagras. Dessa personer skulle utsättas för en ökad risk för att myndigheterna letar fram deras uppgifter, skaffar sig kännedom om uppgifternas innehåll, underrättar sig om deras privatliv och – med beaktande av att ett oöverblickbart antal personer har tillgång till uppgifterna under en tid av minst sex månader – använder uppgifterna för olika ändamål. Det föreligger enligt Verfassungsgerichtshof tvivel avseende huruvida direktivet är ägnat att uppnå de målsättningar som eftersträvas med det och huruvida ingreppet i de aktuella grundläggande rättigheterna är proportionerligt.

21      Mot denna bakgrund beslutade Verfassungsgerichtshof att vilandeförklara målet och ställa följande frågor till domstolen:

”1)      Beträffande giltigheten av unionsinstitutionernas handlingar:

Är artiklarna 3–9 i direktiv 2006/24 förenliga med artiklarna 7, 8 och 11 i [stadgan]?

2)      Beträffande tolkningen av fördragen:

a)      Ska direktiv 95/46 och Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [(EGT L 8, 2001, s. 1)] – mot bakgrund av förklaringarna till artikel 8 i stadgan som enligt artikel 52.7 i stadgan har utarbetats för att ge vägledning vid tolkningen av stadgan och vilka Verfassungsgerichtshof vederbörligen ska beakta – vid bedömningen av huruvida ingrepp är tillåtna anses likvärdiga med villkoren i artikel 8.2 och artikel 52.1 i stadgan?

b)      Vilket är förhållandet mellan hänvisningen till unionsrätten i artikel 52.3 sista meningen i stadgan och de direktiv som avser skydd för personuppgifter?

c)      Ska ändringar till följd av senare sekundärrätt beaktas vid tolkningen av artikel 8 i stadgan, mot bakgrund av att direktiv 95/46 och förordning … nr 45/2001 innehåller villkor och begränsningar i upprätthållandet av den grundläggande rättigheten om skydd för personuppgifter enligt stadgan?

d)      Innebär principen om upprätthållandet av en högre skyddsnivå i artikel 53 i stadgan, med beaktande av artikel 52.4 i stadgan, att gränserna för de begränsningar som enligt stadgan får göras genom sekundärrätten ska dras mer restriktivt?

e)      Kan det med beaktande av artikel 52.3 i stadgan, femte stycket i ingressen och förklaringarna till artikel 7 i stadgan, enligt vilka de där garanterade rättigheterna motsvarar rättigheterna i artikel 8 i Europakonventionen, genom rättspraxis från Europeiska domstolen för de mänskliga rättigheterna beträffande artikel 8 i Europakonventionen uppkomma kriterier avseende tolkningen av artikel 8 i stadgan som påverkar tolkningen av sistnämnda artikel?”

22      Genom beslut av domstolens ordförande den 11 juni 2013 förenades målen C‑293/12 och C‑594/12 vad gäller det muntliga förfarandet och domen.

 Prövning av tolknings- och giltighetsfrågorna

 Fråga 2 b–d i mål C‑293/12 och fråga 1 i mål C‑594/12

23      De hänskjutande domstolarna har genom fråga 2 b–d i mål C‑293/12 och fråga 1 i mål C–594/12, vilka ska prövas i ett sammanhang, begärt att domstolen ska pröva giltigheten av direktiv 2006/24 mot bakgrund av artiklarna 7, 8 och 11 i stadgan.

 Relevansen av artiklarna 7, 8 och 11 i stadgan för frågan om giltigheten av direktiv 2006/24

24      Det framgår av artikel 1 samt skälen 4, 5, 7–11, 21 och 22 i direktiv 2006/24 att direktivets huvudsyfte är att – med iakttagande av rättigheterna i artiklarna 7 och 8 i stadgan – harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott, såsom brott med koppling till organiserad brottslighet eller terrorism.

25      Skyldigheten enligt artikel 3 i direktiv 2006/24 för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra de uppgifter som räknas upp i artikel 5 i direktivet i syfte att, vid behov, göra dem tillgängliga för behöriga nationella myndigheter, väcker frågor om skyddet för privatlivet och för kommunikationer i artikel 7 i stadgan, skyddet för personuppgifter i artikel 8 i stadgan och respekten för yttrandefriheten i artikel 11 i stadgan.

26      De uppgifter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät enligt artiklarna 3 och 5 i direktiv 2006/24 är skyldiga att lagra är bland annat de uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla, för att identifiera slutmålet för en kommunikation, för att identifiera en kommunikations datum, tidpunkt, varaktighet och typ, för att identifiera användarnas kommunikationsutrustning och för att identifiera lokaliseringen av mobil kommunikationsutrustning. Bland dessa uppgifter ingår abonnentens eller den registrerade användarens namn och adress, det uppringande telefonnumret, det uppringda telefonnumret och IP-adressen för internettjänster. Dessa uppgifter gör det i synnerhet möjligt att få kännedom om med vilken person en abonnent eller registrerad användare har kommunicerat och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommunikationen skett. Uppgifterna gör det dessutom möjligt att få kännedom om hur ofta abonnenten eller den registrerade användaren kommunicerat med vissa personer under en viss tidsperiod.

27      Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om de personers privatliv, vilkas uppgifter har lagrats – såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter som de utövar, deras sociala relationer och de umgängeskretsar som de rör sig i.

28      Det kan mot denna bakgrund inte uteslutas att lagringen av de aktuella uppgifterna kan inverka på abonnenternas eller de registrerade användarnas användning av de kommunikationsmedel som omfattas av direktiv 2006/24 och följaktligen på dessa personers utövande av sin i artikel 11 i stadgan garanterade yttrandefrihet, trots att det enligt artiklarna 1.2 och 5.2 i direktivet inte är tillåtet att lagra innehållet i kommunikationen eller den information som sökts med hjälp av ett elektroniskt kommunikationsnät.

29      Lagringen av uppgifter i syfte att eventuellt göra dem tillgängliga för behöriga nationella myndigheter, såsom den som är föreskriven i direktiv 2006/24, avser privatlivet på ett direkt och specifikt sätt och således de rättigheter som är garanterade i artikel 7 i stadgan. En sådan lagring av uppgifter omfattas även av artikel 8 i stadgan på grund av att den utgör behandling av personuppgifter i den mening som avses i den artikeln och måste därför uppfylla de krav på skydd av uppgifter som följer av den artikeln (dom Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 47).

30      Respektive begäran om förhandsavgörande väcker den principiella frågan huruvida abonnenternas och de registrerade användarnas uppgifter får lagras eller inte med hänsyn till artikel 7 i stadgan. Respektive begäran avser även frågan huruvida direktiv 2006/24 uppfyller de krav på skydd av personuppgifter som följer av artikel 8 i stadgan.

31      Mot bakgrund av det anförda och för att besvara fråga 2 b–d i mål C‑293/12 och fråga 1 i mål C‑594/12 ska direktivets giltighet prövas i förhållande till artiklarna 7 och 8 i stadgan.

 Förekomsten av ett ingrepp i rättigheterna i artiklarna 7 och 8 i stadgan

32      Såsom generaladvokaten har konstaterat i sitt förslag till avgörande, särskilt i punkterna 39 och 40, utgör direktiv 2006/24 – genom att direktivet föreskriver en skyldighet att lagra de uppgifter som räknas upp i artikel 5.1 – en avvikelse från det genom direktiven 95/46 och 2002/58 inrättade systemet för skydd av rätten till respekt för privatlivet vid behandlingen av personuppgifter inom sektorn för elektronisk kommunikation. I dessa direktiv föreskrivs att kommunikationer och trafikuppgifter ska vara konfidentiella och att dessa uppgifter ska utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, såvida uppgifterna inte behövs för fakturering och då endast så länge detta behov finns.

33      För att fastställa huruvida det föreligger ett ingrepp i den grundläggande rätten till respekt för privatlivet har det föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet (se, för ett liknande resonemang, dom Österreichischer Rundfunk m.fl., C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 75).

34      Av detta följer att skyldigheten enligt artiklarna 3 och 6 i direktiv 2006/24 för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att under en viss tid lagra uppgifter avseende en persons privatliv och vederbörandes kommunikationer, såsom de uppgifter som räknas upp i artikel 5 i direktivet, i sig utgör ett ingrepp i de rättigheter som är garanterade genom artikel 7 i stadgan.

35      Dessutom utgör behöriga nationella myndigheters tillgång till uppgifterna ett ytterligare ingrepp i denna grundläggande rättighet (se, beträffande artikel 8 i Europakonventionen, Europadomstolens domar av den 26 mars 1987 i målet Leander mot Sverige, serie A nr 116, § 48, i målet Rotaru mot Rumänien (SK), nr 28341/95, § 46, CEDH 2000-V, i målet Weber och Saravia mot Tyskland (beslut), nr 54934/00, § 79, CEDH 2006-XI). Även artiklarna 4 och 8 i direktiv 2006/24, i vilka det föreskrivs regler om behöriga nationella myndigheters tillgång till uppgifterna, utgör således ett ingrepp i de rättigheter som är garanterade genom artikel 7 i stadgan.

36      Direktiv 2006/24 utgör på samma sätt ett ingrepp i den grundläggande rätten till skydd för personuppgifter som är garanterad genom artikel 8 i stadgan, eftersom direktivet föreskriver en behandling av personuppgifter.

37      Domstolen konstaterar, i likhet med vad generaladvokaten har gjort i punkterna 77 och 80 i sitt förslag till avgörande, att det ingrepp som direktiv 2006/24 utgör i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan är långtgående och att det måste anses som synnerligen allvarligt. Dessutom kan, i likhet med vad generaladvokaten har funnit i punkterna 52 och 72 i sitt förslag till avgörande, den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.

 Frågan huruvida ingreppet i de rättigheter som garanteras genom artiklarna 7 och 8 i stadgan är motiverat

38      Enligt artikel 52.1 i stadgan måste varje begränsning av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med deras väsentliga innehåll. Begränsningar av dessa rättigheter och friheter får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter.

39      Domstolen konstaterar beträffande det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet och i de andra rättigheter som är stadfästa i artikel 7 i stadgan att även om den lagring av uppgifter som föreskrivs i direktiv 2006/24 utgör ett synnerligen allvarligt ingrepp i dessa rättigheter kan det inte kränka deras väsentliga innehåll, eftersom det framgår av artikel 1.2 i direktivet att det inte är tillåtet att skaffa sig kännedom om själva innehållet i de elektroniska kommunikationerna.

40      Lagringen av uppgifter kan inte heller kränka det väsentliga innehållet i den grundläggande rätten till skydd för personuppgifter i artikel 8 i stadgan, eftersom det i artikel 7 i direktiv 2006/24 föreskrivs en regel om skydd för personuppgifter enligt vilken – utan att det påverkar tillämpningen av de bestämmelser som antagits i enlighet med direktiv 95/46 och direktiv 2002/58 – vissa principer om skydd av och säkerhet för uppgifter måste iakttas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Dessa principer innebär att medlemsstaterna ska säkerställa att det antas lämpliga tekniska och organisatoriska åtgärder för att skydda mot oavsiktlig eller olaglig förstöring och mot oavsiktlig förlust eller oavsiktlig ändring av uppgifterna.

41      Domstolen konstaterar beträffande frågan huruvida ingreppet svarar mot ett mål av allmänt samhällsintresse att direktiv 2006/24 visserligen är avsett att harmonisera medlemsstaternas bestämmelser om de skyldigheter som nämnda leverantörer har att lagra vissa uppgifter som de genererat eller behandlat, men att direktivets materiella syfte är att i enlighet med vad som framgår av artikel 1.1 säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen. Direktivets materiella syfte är således att bidra till bekämpandet av grov brottslighet och i sista hand att bidra till den allmänna säkerheten.

42      Det framgår av domstolens praxis att bekämpandet av internationell terrorism i syfte att upprätthålla internationell fred och säkerhet utgör ett allmänt samhällsintresse som erkänns av unionen (se, för ett liknande resonemang, domarna Kadi och Al Barakaat International Foundation/rådet och kommissionen, C‑402/05 P och C‑415/05 P, EU:C:2008:461, punkt 363, Al-Aqsa/rådet, C‑539/10 P och C‑550/10 P, EU:C:2012:711, punkt 130). Detsamma gäller beträffande bekämpandet av grov brottslighet i syfte att garantera allmän säkerhet (se, för ett liknande resonemang, dom Tsakouridis, C‑145/09, EU:C:2010:708, punkterna 46 och 47). Domstolen påpekar i detta sammanhang att det i artikel 6 i stadgan slås fast att var och en har rätt inte enbart till frihet, utan även till personlig säkerhet.

43      Det framgår härvidlag av skäl 7 i direktiv 2006/24 att eftersom omfattningen av elektronisk kommunikation ökat avsevärt ansåg rådet (rättsliga och inrikes frågor) den 19 december 2002 att uppgifter om användningen av sådan kommunikation är särskilt viktiga och att de därför utgör ett värdefullt verktyg när det gäller att förebygga och bekämpa brott, särskilt organiserad brottslighet.

44      Domstolen konstaterar således att den lagring av uppgifter i syfte att eventuellt göra dem tillgängliga för behöriga nationella myndigheter som är föreskriven i direktiv 2006/24 faktiskt svarar mot ett mål av allmänt samhällsintresse.

45      Det finns under dessa omständigheter anledning att kontrollera det fastställda ingreppets proportionalitet.

46      Domstolen erinrar om att enligt fast praxis kräver proportionalitetsprincipen att unionsinstitutionernas åtgärder ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna i fråga och att de inte går utöver vad som är lämpligt och nödvändigt för att uppnå dessa mål (se, för ett liknande resonemang, domar Afton Chemical, C‑343/09, EU:C:2010:419, punkt 45, Volker und Markus Schecke och Eifert, EU:C:2010:662, punkt 74, Nelson m.fl., C‑581/10 och C‑629/10, EU:C:2012:657, punkt 71, Sky Österreich, C‑283/11, EU:C:2013:28, punkt 50, och Schaible, C‑101/12, EU:C:2013:661, punkt 29).

47      Med avseende på domstolsprövningen av huruvida dessa villkor är uppfyllda kan unionslagstiftarens utrymme för skönsmässig bedömning, när det är fråga om ingrepp i grundläggande rättigheter, vara begränsat på grund av ett antal omständigheter, såsom bland annat det område som berörs, beskaffenheten av den rättighet som garanteras genom stadgan, ingreppets beskaffenhet och allvar samt ingreppets syfte (se, analogt beträffande artikel 8 i Europakonventionen, Europadomstolens dom i målet S och Marper mot Förenade kungariket [SK], nr 30562/04 och 30566/04, § 102, CEDH 2008-V).

48      I föreliggande fall är unionslagstiftarens utrymme för skönsmässig bedömning begränsat med hänsyn till den stora betydelse som skyddet för personuppgifter har för den grundläggande rätten till respekt för privatlivet och med hänsyn till det långtgående och allvarliga ingrepp i denna rätt som direktiv 2006/24 innebär. Det ska därför göras en strikt kontroll.

49      Domstolen konstaterar beträffande frågan huruvida lagringen av uppgifter är ägnad att uppnå det mål som eftersträvas med direktiv 2006/24 att, med hänsyn till den växande betydelsen av elektroniska kommunikationsmedel, innebär den lagring av uppgifter som måste ske enligt direktivet att nationella brottsbekämpande myndigheter får tillgång till ytterligare möjligheter att klara upp grova brott och de utgör i detta hänseende ett värdefullt verktyg i brottsutredningar. Lagringen av sådana uppgifter kan därför anses vara ägnad att uppnå det mål som eftersträvas med direktivet.

50      Denna bedömning påverkas inte av den omständigheten, vilken åberopats av bland andra Christof Tschohl, Michael Seitlinger och den portugisiska regeringen i deras skriftliga yttranden, att det finns flera former av elektronisk kommunikation som inte omfattas av tillämpningsområdet för direktiv 2006/24 eller som möjliggör anonym kommunikation. Denna omständighet kan visserligen innebära att lagringen av uppgifter är mindre ägnad att uppnå det eftersträvade målet, men den kan inte – vilket generaladvokaten har påpekat i punkt 137 i sitt förslag till avgörande – innebära att denna åtgärd inte skulle vara ägnad att uppnå nämnda mål.

51      Domstolen konstaterar beträffande frågan huruvida den lagring av uppgifter som föreskrivs i direktiv 2006/24 är nödvändig, att bekämpandet av grov brottslighet och särskilt av organiserad brottslighet och terrorism visserligen är av största betydelse för att garantera allmän säkerhet och att dess effektivitet i stor utsträckning kan bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt samhällsintresse kan emellertid inte, trots dess grundläggande betydelse, i sig ensamt motivera att en sådan lagringsåtgärd som den genom direktiv 2006/24 införda ska anses vara nödvändig för nämnda bekämpande.

52      Enligt domstolens fasta praxis kräver skyddet av den grundläggande rätten till respekt för privatlivet under alla omständigheter att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (dom IPI, C‑473/12, EU:C:2013:715, punkt 39 och där angiven rättspraxis).

53      Domstolen erinrar härvidlag om att skyddet för personuppgifter, vilket följer av den uttryckliga skyldigheten i artikel 8.1 i stadgan, är av särskild betydelse för rätten till respekt för privatlivet i artikel 7 i stadgan.

54      Den aktuella unionslagstiftningen måste därför föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av den aktuella åtgärden och som slår fast minimikrav, så att de personer vilkas uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk och otillåten tillgång eller användning (se, analogt beträffande artikel 8 i Europakonventionen, Europadomstolens dom av den 1 juli 2008 i målet Liberty m.fl. mot Förenade kungariket, nr 58243/00, § 62 och 63, i det ovannämnda målet Rotaru mot Rumänien, § 57–59 och i det ovannämnda målet S och Marper mot Förenade kungariket, § 99).

55      Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna, såsom enligt direktiv 2006/24, är föremål för automatisk behandling och risken för otillåten tillgång till uppgifterna är stor (se, analogt beträffande artikel 8 i Europakonventionen, Europadomstolens dom i det ovannämnda målet S och Marper mot Förenade kungariket, § 103 och av den 18 april 2013 i målet M.K. mot Frankrike, nr 19522/09, § 35).

56      Domstolen konstaterar beträffande frågan huruvida direktiv 2006/24 inskränker sig till vad som är strängt nödvändigt att enligt artikel 3 i direktivet, jämförd med artikel 5.1, ska samtliga trafikuppgifter avseende telefoni i fasta nät, mobil telefoni, internetåtkomst, internetbaserad e-post och internettelefoni lagras. Direktivet omfattar således samtliga elektroniska kommunikationsmedel, vilkas användning är mycket utbredd och som är av växande betydelse i var och ens vardagsliv. Enligt artikel 3 i direktivet omfattar det dessutom samtliga abonnenter och registrerade användare. Direktivet medför således ett ingrepp i de grundläggande rättigheterna för nästintill hela Europas befolkning.

57      Domstolen konstaterar härvidlag för det första att direktiv 2006/24 generellt omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa allvarliga brott.

58      Direktiv 2006/24 gäller nämligen samtliga personer som använder elektroniska kommunikationstjänster, dock utan att de personer vilkas uppgifter lagras ens indirekt befinner sig i en situation som kan föranleda lagföring. Direktivet är således även tillämpligt på personer beträffande vilka det inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt och avlägset samband med allvarliga brott. I direktivet föreskrivs inte heller några undantag, vilket innebär att det även är tillämpligt på personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt.

59      Direktivet avser vidare att bidra till bekämpandet av grov brottslighet, men det krävs inte något samband mellan de uppgifter som ska lagras enligt direktivet och ett hot mot den allmänna säkerheten. Lagringen av uppgifter är inte heller begränsad till uppgifter avseende en viss tidsperiod och/eller geografiskt område och/eller krets av personer som på något sätt kan vara inblandad i ett allvarigt brott eller till att avse personer beträffande vilka lagringen av uppgifter av andra skäl skulle kunna bidra till utredning, avslöjande och åtal av allvarliga brott.

60      Domstolen konstaterar för det andra att till avsaknaden av begränsningar i allmänhet tillkommer det faktum att det i direktiv 2006/24 inte föreskrivs något objektivt kriterium för att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning för utredning, avslöjande och åtal av brott, vilka med hänsyn till det omfattande och allvarliga ingreppet i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan, kan anses tillräckligt allvarliga för att motivera ett sådant ingrepp. Direktiv 2006/24 inskränker sig i stället till att i artikel 1.1 göra en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje medlemsstats nationella lagstiftning.

61      Vidare innehåller inte direktivet de materiella och formella villkoren för behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning. I artikel 4 i direktivet, i vilken behöriga nationella myndigheters tillgång till uppgifterna regleras, föreskrivs inte uttryckligen att tillgång till och senare användning av uppgifterna måste vara strängt begränsad till förebyggandet och avslöjandet av noggrant avgränsade allvarliga brott eller till lagföringen av dessa brott. I artikeln föreskrivs i stället endast att varje medlemsstat ska fastställa de förfaranden som ska följas och de villkor som ska vara uppfyllda för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven.

62      I synnerhet föreskrivs det i direktiv 2006/24 inte något objektivt kriterium som gör det möjligt att begränsa antalet personer som är behöriga att få tillgång till och använda de lagrade uppgifterna till det antal som är strängt nödvändigt med hänsyn till det eftersträvade målet. Behöriga nationella myndigheters tillgång till de lagrade uppgifterna är inte underkastad någon förhandskontroll utförd av en domstol eller en oberoende myndighet, vars beslut avser att begränsa tillgången till och användningen av uppgifterna till vad som är strängt nödvändigt för att uppnå det eftersträvade målet och som meddelas efter det att nämnda myndigheter framställt en motiverad ansökan inom ramen för ett förfarande för förebyggande, avslöjande eller lagföring av brott. I direktivet föreskrivs inte heller någon specifik skyldighet för medlemsstaterna att fastställa sådana begränsningar.

63      Domstolen konstaterar för det tredje beträffande den tid som uppgifterna ska lagras att enligt artikel 6 i direktiv 2006/24 ska uppgifterna lagras under en period av minst sex månader, utan att det görs någon åtskillnad mellan de kategorier av uppgifter som anges i artikel 5 i direktivet utifrån deras nytta för det mål som eftersträvas eller utifrån de personer som berörs.

64      Lagringstiden sträcker sig dessutom från minst sex månader till högst två år, utan att det preciseras att lagringstidens längd måste bestämmas enligt objektiva kriterier för att säkerställa att den är begränsad till vad som är strängt nödvändigt.

65      Det följer av det anförda att det i direktiv 2006/24 inte föreskrivs några tydliga och precisa regler som reglerar räckvidden av ingreppet i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan. Domstolen konstaterar således att direktivet innebär ett ingrepp i dessa rättigheter som i unionens rättsordning är långtgående och synnerligen allvarligt, utan att ingreppet är noggrant avgränsat genom bestämmelser som gör det möjligt att säkerställa att det verkligen är begränsat till vad som är strängt nödvändigt.

66      Domstolen konstaterar dessutom beträffande reglerna om skydd av och säkerhet för de uppgifter som lagras av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller av allmänna kommunikationsnät att direktiv 2006/24 inte föreskriver de tillräckliga garantier som krävs enligt artikel 8 i stadgan, vilka gör det möjligt att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk och otillåten tillgång eller användning. I artikel 7 i direktiv 2006/24 föreskrivs det inte några specifika regler som är anpassade till den stora kvantitet uppgifter som ska lagras enligt direktivet, till att det är fråga om känsliga uppgifter och till risken för otillåten tillgång till uppgifterna. Dessa regler skulle på ett tydligt och strängt sätt reglera skyddet av uppgifterna och deras säkerhet i syfte att säkerställa fullständig integritet och konfidentialitet för uppgifterna. Det har dessutom inte föreskrivits någon specifik skyldighet för medlemsstaterna att upprätta sådana regler.

67      Artikel 7 i direktiv 2006/24, jämförd med artikel 4.1 i direktiv 2002/58 och artikel 17.1 andra stycket i direktiv 95/46, garanterar inte att leverantörerna genom tekniska och organisatoriska åtgärder tillämpar en särskild hög skydds- och säkerhetsnivå, utan tillåter bland annat leverantörerna att beträffande kostnaderna för att genomföra säkerhetsåtgärderna ta hänsyn till ekonomiska överväganden vid bestämmandet av den säkerhetsnivå som de ska tillämpa. I synnerhet garanterar direktiv 2006/24 inte att uppgifterna oåterkalleligen förstörs när deras lagringstid gått ut.

68      Domstolen tillägger att direktiv 2006/24 inte kräver att uppgifterna ska lagras inom unionen, vilket innebär att den i artikel 8.3 i stadgan uttryckligen föreskrivna oberoende myndighetskontrollen av att de i de båda föregående punkterna behandlade skydds- och säkerhetskraven följs, inte fullt ut kan anses vara garanterad. En sådan kontroll, vilken ska utföras på grundval av unionsrätten, utgör en grundläggande beståndsdel i skyddet för enskilda i samband behandlingen av personuppgifter (se, för ett liknande resonemang, dom kommissionen/Österrike, C‑614/10, EU:C:2012:631, punkt 37).

69      Domstolen finner mot bakgrund av det anförda att unionslagstiftaren vid antagandet av direktiv 2006/24 överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av artiklarna 7, 8 och 52.1 i stadgan.

70      Under dessa omständigheter saknas det anledning att pröva giltigheten av direktiv 2006/24 i förhållande till artikel 11 i stadgan.

71      Fråga 2 b–d i mål C‑293/12 och fråga 1 i mål C‑594/12 ska således besvaras så, att direktiv 2006/24 är ogiltigt.

 Fråga 1, fråga 2 a och e samt fråga 3 i mål C‑293/12 och fråga 2 i mål C‑594/12

72      Det framgår av föregående punkt att det saknas anledning att besvara fråga 1, fråga 2 a och e samt fråga 3 i mål C‑293/12 och fråga 2 i mål C‑594/12.

 Rättegångskostnader

73      Eftersom förfarandet i förhållande till parterna i de nationella målen utgör ett led i beredningen av samma mål, ankommer det på de hänskjutande domstolarna att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG är ogiltigt.

Underskrifter


* Rättegångsspråk: engelska och tyska.