Language of document : ECLI:EU:C:2016:572

Foreløbig udgave

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

H. SAUGMANDSGAARD ØE

fremsat den 19. juli 2016 (1)

Forenede sager C-203/15 og C-698/15

Tele2 Sverige AB

mod

Post- och telestyrelsen (sag C-203/15)


og


Secretary of State for the Home Department

mod

Tom Watson,

Peter Brice,

Geoffrey Lewis (sag C-698/15)

procesdeltagere:

Open Rights Group,

Privacy International,

Law Society of England and Wales

(anmodninger om præjudiciel afgørelse indgivet af Kammarrätten i Stockholm (appeldomstolen i forvaltningsretlige sager i Stockholm, Sverige) og Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige)

»Præjudiciel forelæggelse – direktiv 2002/58/EF – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – national lovgivning, som fastsætter en generel pligt til lagring af data vedrørende elektronisk kommunikation – artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7 – ret til respekt for privatlivet – artikel 8 – ret til beskyttelse af personoplysninger – alvorligt indgreb – begrundelse – artikel 52, stk. 1 – betingelser – det legitime mål om bekæmpelse af grov kriminalitet – krav om et retsgrundlag i national ret – krav om streng nødvendighed – krav om proportionalitet i et demokratisk samfund«





Indhold


I –   Indledning

II – Retsforskrifter

A –   Direktiv 2002/58

B –   Svensk ret

1.     Om rækkevidden af lagringspligten

2.     Om adgangen til de lagrede data

a)     LEK

b)     RB

c)     Lov 2012/278

3.     Om varigheden af datalagringen

4.     Om beskyttelse og sikkerhed med hensyn til de lagrede data

C –   Det Forenede Kongeriges ret

1.     Om rækkevidden af lagringspligten

2.     Om adgangen til de lagrede data

3.     Om varigheden af datalagringen

4.     Om beskyttelse og sikkerhed med hensyn til de lagrede data

III – Tvisterne i hovedsagerne og de præjudicielle spørgsmål

A –   Sag C-203/15

B –   Sag C-698/15

IV – Retsforhandlingerne for Domstolen

V –   Bedømmelse af de præjudicielle spørgsmål

A –   Om formaliteten med hensyn til det andet spørgsmål i sag C-698/15

B –   Om foreneligheden af en generel pligt til datalagring med den ordning, der er fastsat i direktiv 2002/58

1.     Om en generel pligt til datalagring er omfattet af anvendelsesområdet for direktiv 2002/58

2.     Om muligheden for at fravige den ordning, der er fastsat i direktiv 2002/58, ved at fastsætte en generel pligt til datalagring

C –   Om chartret finder anvendelse på en generel pligt til datalagring

D –   Om foreneligheden af en generel pligt til datalagring med de krav, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58 og i chartrets artikel 7, artikel 8 og artikel 52, stk. 1

1.     Om kravet om et retsgrundlag i national ret

2.     Om respekten af det væsentligste indhold af de rettigheder, der er anerkendt ved chartrets artikel 7 og 8

3.     Om der foreligger et mål af almen interesse, der er anerkendt i Unionen, og som kan begrunde en generel pligt til datalagring

4.     Om en generel pligt til datalagring er passende, henset til bekæmpelsen af grov kriminalitet

5.     Om en generel pligt til datalagring er nødvendig henset til bekæmpelsen af grov kriminalitet

a)     Om en generel pligt til datalagring er strengt nødvendig

b)     Om den ufravigelige karakter af de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, henset til kravet om streng nødvendighed

6.     Om en generel pligt til datalagring er forholdsmæssig i et demokratisk samfund, henset til målet om bekæmpelse af grov kriminalitet

VI – Forslag til afgørelse


I –    Indledning

1.        I 1788 skrev James Madison, en af ophavsmændene til den amerikanske forfatning: »If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary. In framing a government which is to be administered by men over men, the great difficulty lies in this: you must first enable the government to control the governed; and in the next place oblige it to control itself« (2).

2.        I de foreliggende sager befinder vi os i kernen af denne »betydelige vanskelighed«, som James Madison identificerede. Sagerne vedrører spørgsmålet om foreneligheden med EU-retten af nationale lovgivninger, som for udbydere af elektroniske kommunikationstjenester, der er tilgængelige for offentligheden (herefter »udbyderne«), fastsætter en pligt til at lagre data vedrørende elektronisk kommunikation (herefter »kommunikationsdata«) for så vidt angår alle kommunikationsmidler og alle brugere (herefter »den generelle pligt til datalagring«).

3.        For det første gør lagringen af kommunikationsdata det muligt for »regeringen at kontrollere dem, der regeres«, ved at give de kompetente myndigheder et efterforskningsmiddel, som kan være til en vis nytte i forbindelse med bekæmpelsen af grov kriminalitet, herunder navnlig bekæmpelsen af terrorisme. Denne datalagring giver nærmere bestemt myndighederne en begrænset mulighed for at »læse fortiden« ved at få adgang til data om kommunikation, som en person har taget del i, allerede inden den pågældende blev mistænkt for at have forbindelse til grov kriminalitet (3).

4.        For det andet er det imidlertid bydende nødvendigt at »forpligte regeringen til at kontrollere sig selv« for så vidt angår såvel lagringen af som adgangen til de lagrede data, henset til de alvorlige risici, der følger af eksistensen af sådanne databaser, som omfatter al kommunikation, der foretages på det nationale område. Disse databaser af betydeligt omfang giver således enhver person, som har adgang til dem, magten til øjeblikkeligt at katalogisere hele den pågældende befolkning (4). Disse risici må belyses omhyggeligt ved hjælp af bl.a. en undersøgelse af, hvorvidt en generel pligt til datalagring som den i hovedsagerne omhandlede er strengt nødvendig og forholdsmæssig.

5.        I forbindelse med nærværende sager skal Domstolen og de forelæggende retter således foretage en afvejning af den forpligtelse, der påhviler medlemsstaterne med hensyn til at garantere sikkerheden for de personer, der befinder sig på deres område, og overholdelsen af den grundlæggende ret til et privatliv og til beskyttelse af personoplysninger, som er fastsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

6.        Det er i lyset af denne »betydelige vanskelighed«, at jeg vil undersøge de spørgsmål, der er forelagt Domstolen i de foreliggende sager. Disse sager vedrører nærmere bestemt spørgsmålet om, hvorvidt nationale lovgivninger, som fastsætter en generel pligt til datalagring, er forenelige med direktiv 2002/58/EF (5) og chartrets artikel 7 og 8. Med henblik på besvarelsen af disse spørgsmål skal Domstolen bl.a. præcisere, hvilken fortolkning der i en national sammenhæng skal anlægges af dommen i sagen Digital Rights Ireland m.fl. (herefter »Digital Rights-dommen«) (6), hvor Domstolens Store Afdeling fastslog, at direktiv 2006/24/EF (7) var ugyldigt.

7.        Af de grunde, som jeg i det følgende vil redegøre for, er det min opfattelse, at en generel pligt til datalagring, som en medlemsstat har indført, kan være forenelig med de grundlæggende rettigheder, der er sikret ved EU-retten, forudsat at den er strengt afgrænset ved en række garantier, som jeg vil identificere i min redegørelse.

II – Retsforskrifter

A –    Direktiv 2002/58

8.        Artikel 1 i direktiv 2002/58 med overskriften »Anvendelsesområde og formål« bestemmer:

»1.      Dette direktiv tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i [Den Europæiske Union].

2.      Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser direktiv [95/46]. Nærværende bestemmelser beskytter desuden legitime interesser hos abonnenter, der er juridiske personer.

3.       Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af [TEUF], som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i [TEU], og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«

9.        Artikel 15, stk. 1, i direktiv 2002/58 med overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]« har følgende ordlyd:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i [...] artikel 6, stk. 1 og 2[, TEU].«

B –    Svensk ret

10.      Direktiv 2006/24, der nu er ugyldigt, blev gennemført i svensk ret ved ændringer foretaget i lagen (2003:389) om elektronisk kommunikation (den svenske lov 2003:389 om elektronisk kommunikation, herefter »LEK«) og förordningen (2003:396) om elektronisk kommunikation (forordning 2003:396 om elektronisk kommunikation, herefter »FEK«), som begge trådte i kraft den 1. maj 2012.

1.      Om rækkevidden af lagringspligten

11.      Det fremgår af bestemmelserne i LEK’s kapitel 6, § 16a, at udbyderne er forpligtet til at lagre de data vedrørende elektronisk kommunikation, som er nødvendige for at identificere kommunikationskilden, kommunikationens bestemmelsessted, datoen og tidspunktet for og varigheden af kommunikationen, hvilket kommunikationsudstyr der er blevet anvendt, og lokaliseringen af mobilt kommunikationsudstyr, der er anvendt ved kommunikationens start og slut. Den type data, som skal lagres, er genstand for mere detaljerede bestemmelser i FEK’s § 38-43.

12.      Denne lagringspligt vedrører data, der behandles i forbindelse med telefonitjenester, telefoni via en mobil forbindelse, beskedoverførsel, internetadgang og levering af kapacitet for internetadgang.

13.      De data, der skal lagres, omfatter ikke kun alle de data, der skulle lagres inden for rammerne af direktiv 2006/24, men ligeledes data vedrørende mislykkede opkald og data om lokalisering af stedet for mobilsamtalers afslutning. I lighed med den ordning, der var fastsat ved nævnte direktiv, omfatter de data, der skal lagres, ikke indholdet af kommunikationen.

2.      Om adgangen til de lagrede data

14.      Adgangen til de lagrede data er reguleret ved tre retsakter, nemlig LEK, rättegångsbalken (retsplejeloven, herefter »RB«) og lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (den svenske lov 2012:278 om indhentning af data vedrørende elektronisk kommunikation i de retshåndhævende myndigheders efterretningsvirksomhed).

a)      LEK

15.      Ifølge bestemmelserne i LEK’s kapitel 6, § 22, stk. 1, nr. 2, skal enhver udbyder udlevere abonnementsdata på forespørgsel fra anklagemyndigheden, politiet, Säkerhetspolisen (den svenske efterretningstjeneste, herefter »Säpo«) eller enhver anden retshåndhævende offentlig myndighed, såfremt disse data vedrører en formodet lovovertrædelse. I henhold til disse bestemmelser er det ikke et krav, at der er tale om grov kriminalitet.

16.      Ved abonnementsdata forstås nærmere bestemt data vedrørende abonnentens navn, titel, adresse, telefonnummer og IP-adresse.

17.      I medfør af LEK kræver udlevering af abonnementsdata ingen forudgående kontrol, men kan efterfølgende gøres til genstand for en administrativ kontrol. Der er desuden ikke fastsat nogen begrænsning for så vidt angår antallet af myndigheder, der kan få adgang til disse data.

b)      RB

18.      RB regulerer overvågningen af elektronisk kommunikation i forbindelse med indledende efterforskning.

19.      Overvågning af elektronisk kommunikation kan nærmere bestemt kun iværksættes, hvis der er begrundet mistanke om, at en bestemt person har begået en lovovertrædelse, der straffes med fængsel i mindst seks måneder, eller andre specifikt opregnede lovovertrædelser, og hvis foranstaltningen i særlig grad er nødvendig for efterforskningen.

20.      Ud over dette tilfælde kan der foretages overvågning med henblik på efterforskning af en lovovertrædelse, der straffes med fængsel i mindst to år, med henblik på at finde de personer, der begrundet kan mistænkes for at have begået lovovertrædelsen, hvis foranstaltningen i særlig grad er nødvendig for efterforskningen.

21.      I henhold til RB’s kapitel 27, § 21, skal anklagemyndigheden normalt indhente tilladelse fra den kompetente ret, inden der kan iværksættes overvågning af elektronisk kommunikation.

22.      Hvis overvågning af elektronisk kommunikation er tvingende nødvendig for efterforskningen, og det må antages, at en indhentning af tilladelse fra den kompetente ret til at foretage nævnte overvågning synes uforenelig med uopsætteligheden af overvågningens gennemførelse eller vil medføre hindringer, kan anklagemyndigheden imidlertid give tilladelse hertil, indtil den kompetente ret træffer afgørelse. Anklagemyndigheden skal omgående give den kompetente ret skriftlig underretning herom. Den kompetente ret skal herefter hurtigst muligt efterprøve, om foranstaltningen er begrundet.

c)      Lov 2012/278

23.      I forbindelse med indhentning af oplysninger og i henhold til § 1 i lov 2012:278 kan det svenske politi, Säpo og Tullverket (de svenske toldmyndigheder) på de betingelser, der er fastsat i loven og uden udbyderens vidende, indsamle kommunikationsdata.

24.      I henhold til § 2 og 3 i lov 2012:278 kan der indsamles data, hvis omstændighederne er sådanne, at foranstaltningen i særlig grad er nødvendig med henblik på at forebygge, forhindre eller opdage kriminel virksomhed, der enten omfatter en eller flere lovovertrædelser, der straffes med fængsel i mindst to år, eller en af de lovovertrædelser, der er opregnet i § 3 (bl.a. forskellige former for sabotage eller spionage).

25.      Afgørelsen om at iværksætte en sådan foranstaltning træffes af chefen for den relevante myndighed eller af en anden person, som er bemyndiget hertil.

26.      Afgørelsen skal angive, hvilken kriminel virksomhed og tidsperiode samt hvilket telefonnummer, hvilke andre adresser, hvilket elektronisk kommunikationsudstyr eller hvilket geografisk område der er omfattet af denne. Tilladelsens varighed kan ikke være længere end nødvendigt og kan ikke overstige en måned for så vidt angår tidsperioden efter afgørelsen.

27.      Denne type foranstaltning er ikke undergivet en forudgående kontrol. I medfør af § 6 i lov 2012:278 skal Säkerhets- och integritetsskyddsnämnden (sikkerheds- og integritetsbeskyttelsesnævnet, Sverige) imidlertid underrettes om enhver afgørelse om at tillade indsamling af data. I henhold til § 1 i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (lov 2007:980 om tilsyn med visse retshåndhævende aktiviteter) skal nævnte myndighed føre tilsyn med de retshåndhævende myndigheders anvendelse af loven.

3.      Om varigheden af datalagringen

28.      Det fremgår af bestemmelserne i LEK’s kapitel 6, § 16d, at de data, der henvises til i samme kapitels § 16a, skal lagres i seks måneder fra den dag, hvor kommunikationen blev afsluttet. Disse data skal derefter øjeblikkeligt tilintetgøres, medmindre andet følger af LEK’s kapitel 6, § 16d, stk. 2. I henhold til sidstnævnte bestemmelser skal data, der er krævet udleveret før udløbet af lagringsfristen, men som endnu ikke er udleveret, øjeblikkeligt tilintetgøres, når udleveringen har fundet sted.

4.      Om beskyttelse og sikkerhed med hensyn til de lagrede data

29.      I henhold til LEK’s kapitel 6, § 20, er det forbudt for enhver at videregive eller udnytte kommunikationsdata uden tilladelse.

30.      Ifølge bestemmelserne i LEK’s kapitel 6, § 3a, skal udbyderne træffe de tekniske og organisatoriske foranstaltninger, der kræves for at sikre databeskyttelsen under behandlingen. Det fremgår af forarbejderne til disse bestemmelser, at det ikke er tilladt at fastsætte beskyttelsesniveauet på grundlag af en afvejning af teknologi og omkostninger i forhold til risikoen for en krænkelse af privatlivets fred.

31.      Flere regler om databeskyttelse findes i FEK’s § 37 og i Post- och telestyrelsens (den svenske myndighed for post- og teletilsyn) forskrifter og retningslinjer om beskyttelsesforanstaltninger ved lagring og anden behandling af data i forbindelse med kriminalitetsbekæmpelse (PTSFS nr. 2012:4). Af disse regler fremgår bl.a., at udbyderne skal træffe foranstaltninger til beskyttelse af data mod uforsætlig eller ulovlig destruktion, mod ulovlig lagring, behandling eller adgang og mod ulovlig udbredelse. Udbyderen skal ligeledes løbende og systematisk sørge for datasikkerheden under hensyntagen til de særlige risici, der er forbundet med lagringspligten.

32.      Svensk ret indeholder ingen bestemmelser om, hvor data skal lagres.

33.      I henhold til LEK’s kapitel 7 kan tilsynsmyndigheden i tilfælde af, at en udbyder ikke overholder sine forpligtelser, udstede påbud og forbud, eventuelt i forbindelse med bøder, og den kan endvidere træffe afgørelse om, at virksomheden helt eller delvis skal ophøre.

C –    Det Forenede Kongeriges ret

34.      De bestemmelser, der regulerer datalagring, findes i Data Retention and Investigatory Powers Act 2014 (lov om datalagring og efterforskningsbeføjelser af 2014, herefter »DRIPA«), i Data Retention Regulations 2014 (SI 2014/2042) (bekendtgørelse om datalagring af 2014, herefter »bekendtgørelsen af 2014«) og i Retention of Communications Data Code of Practice (praksiskodeks for lagring af datalagring).

35.      De bestemmelser, der regulerer adgangen til data, findes i kapitel 2 i del 1 i Regulation of Investigatory Powers Act 2000 (lov om efterforskningsbeføjelser af 2000, herefter »RIPA«), i Regulation of Investigatory Powers (Communication Data) Order 2010 (SI 2010/480) (afgørelse om efterforskningsbeføjelser (kommunikationsdata) af 2015, som ændret ved Regulation of Investigatory Powers (Communications Data) (Amendment) Order 2015 (SI 2015/228)) og i Acquisition and Disclosure of Communications Data Code of Practice (praksiskodeksen for erhvervelse og videregivelse af kommunikationsdata, herefter »dataerhvervelseskodeksen«).

1.      Om rækkevidden af lagringspligten

36.      I medfør af DRIPA’s section 1 kan Secretary of State for the Home Department (Det Forenede Kongeriges indenrigsminister, herefter »Secretary of State«) pålægge udbyderne en pligt til at lagre alle kommunikationsdata. Denne pligt vedrører nærmere bestemt samtlige data, der genereres i forbindelse med en afsluttet kommunikation under anvendelse af en posttjeneste eller et telekommunikationssystem, bortset fra kommunikationens indhold. Disse data omfatter bl.a. det sted, hvor tjenestens bruger befinder sig, og data til fastlæggelse af IP-adressen (internetprotokol) eller enhver anden identifikator, der er knyttet til afsenderen eller modtageren af en kommunikation

37.      De formål, der kan begrunde vedtagelsen af en sådan lagringsforanstaltning, omfatter hensynet til den nationale sikkerhed, forebyggelse eller afsløring af kriminalitet eller forebyggelse af forstyrrelse af den offentlige orden, hensynet til Det Forenede Kongeriges økonomiske velfærd, for så vidt som dette hensyn også er relevant for hensynet til den nationale sikkerhed, hensynet til den offentlige sikkerhed, beskyttelse af folkesundheden, fastsættelse eller opkrævning af enhver form for skat eller afgift eller andet beløb, der skal betales til en offentlig myndighed, i nødstilfælde forebyggelse af skader på den fysiske eller mentale sundhed, bistand i forbindelse med efterforskning af tilfælde af fejlagtig domfældelse, identificering af en person, som er afgået ved døden, eller som ikke er i stand til at identificere sig selv, af anden årsag end som følge af en forbrydelse (såsom en naturkatastrofe eller en ulykke), udøvelse af funktioner i forbindelse med regulering af finansielle tjenesteydelser og markeder eller finansiel stabilitet og ethvert formål, der er fastsat i en afgørelse truffet af Secretary of State i henhold til DRIPA’s section 22(2).

38.      Det kræves ikke i henhold til national lovgivning, at udstedelsen af en meddelelse, som pålægger lagringspligt, skal være underlagt et krav om en forudgående retskendelse eller en tilladelse fra et uafhængigt organ. Secretary of State skal efterprøve, at lagringspligten er »nødvendig og forholdsmæssig« for et eller flere af de formål, der begrunder lagring af relevante kommunikationsdata.

2.      Om adgangen til de lagrede data

39.      I medfør af RIPA’s section 22(4) kan offentlige myndigheder ved meddelelse pålægge udbyderne at videregive kommunikationsdata til dem. Formen og indholdet af sådanne meddelelser reguleres i RIPA’s section 23(2). En sådan meddelelse er tidsbegrænset ved bestemmelser om ophævelse og forlængelse heraf.

40.      Erhvervelsen af kommunikationsdata skal være nødvendig og forholdsmæssig for et eller flere af formålene i RIPA’s section 22, som svarer til de formål til begrundelse af lagring, som er beskrevet i punkt 37 i nærværende forslag til afgørelse.

41.      Det fremgår af dataerhvervelseskodeksen, at der kræves en retskendelse i tilfælde, hvor en anmodning om dataadgang indgives med henblik på at identificere en journalists kilde, og i tilfælde, hvor lokale myndigheder anmoder om adgang.

42.      Ud over disse tilfælde er offentlige myndigheders adgang underlagt et krav om, at der er indhentet tilladelse hos den person, der er udpeget til dette formål hos den pågældende offentlige myndighed. En person, der er udpeget til dette formål, er en person, der har et bestemt embede eller en bestemt rang eller stilling inden for den pågældende offentlige myndighed, og som er blevet udpeget med henblik på erhvervelse af kommunikationsdata på grundlag af afgørelsen om efterforskningsbeføjelser (kommunikationsdata) af 2015, som ændret.

43.      Der er intet særligt krav om en retskendelse eller en tilladelse fra et uafhængigt organ for så vidt angår adgang til kommunikationsdata, der er omfattet af fortroligheden i korrespondancen mellem advokater og klienter, eller kommunikationsdata i forbindelse med læger, parlamentsmedlemmer eller præster. Dataerhvervelseskodeksen præciserer alene, at der i forbindelse med en anmodning om adgang til sådanne data skal udvises særlig opmærksomhed for så vidt angår nødvendigheden og forholdsmæssigheden.

3.      Om varigheden af datalagringen

44.      I DRIPA’s section 1(5) og i Regulation 4(2) i bekendtgørelsen af 2014 er der fastsat en maksimal datalagringsperiode på 12 måneder. Ifølge datalagringskodeksen må perioden ikke vare længere, end hvad der er nødvendigt og forholdsmæssigt. I henhold til Regulation 6 i bekendtgørelsen af 2014 skal Secretary of State løbende genoverveje en lagringsmeddelelse.

4.      Om beskyttelse og sikkerhed med hensyn til de lagrede data

45.      I henhold til DRIPA’s section 1 må udbyderne ikke videregive lagrede data, medmindre videregivelsen er i overensstemmelse med kapitel 2 i del 1 i RIPA, med en retsafgørelse eller enhver anden retlig afgørelse eller retskendelse eller med en bekendtgørelse vedtaget af Secretary of State i henhold til DRIPA’s section 1.

46.      I medfør af Regulation 7 og 8 i bekendtgørelsen af 2014 skal udbyderne sikre de lagrede datas integritet og sikkerhed, beskytte dem mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring eller ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse, tilintetgøre data for at gøre det umuligt at få adgang til dem, hvis lagringen ophører med at være tilladt, og indføre passende sikkerhedssystemer. Regulation 9 i bekendtgørelsen af 2014 pålægger Information Commissioner (informationskommissæren) at holde tilsyn med udbydernes overholdelse af disse krav.

47.      De myndigheder, til hvilke udbyderne udleverer kommunikationsdata, skal behandle og opbevare disse data samt alle kopier, udskrifter og resuméer heraf sikkert. I henhold til dataerhvervelseskodeksen skal kravene i databeskyttelsesloven (Data Protection Act, herefter »DPA«), som gennemførte direktiv 95/46, overholdes.

48.      Ved RIPA er indført en Interception of Communications Commissioner (kommissær med ansvar for aflytning af kommunikation, herefter »kommissæren med ansvar for aflytning«), der har til opgave at sørge for uafhængigt tilsyn med udøvelsen og udførelsen af beføjelserne og opgaverne i kapitel II i del I af RIPA. Kommissæren med ansvar for aflytning fører ikke tilsyn med anvendelsen af DRIPA’s section 1. Nævnte kommissær skal regelmæssigt udarbejde rapporter til offentligheden og parlamentet (RIPA’s section 57(2) og section 58) og gøre rede for, hvad de offentlige myndigheder lagrer og indberetter (dataerhvervelseskodeksens punkt 6.1-6.8). Der kan indgives klage til Investigatory Powers Tribunal (domstol for efterforskningsbeføjelser), hvis der er en formodning om, at data er blevet erhvervet med urette (RIPA’s section 65).

49.      Det fremgår af dataerhvervelseskodeksen, at kommissæren med ansvar for aflytning ikke har beføjelse til at indbringe en sag for nævnte domstol. Nævnte kommissær må kun oplyse en person om en mistanke om ulovlig anvendelse af beføjelser, hvis kommissæren kan »godtgøre, at en person er blevet skadet af en forsætlig eller uforsvarlig fejl«. Selv hvis kommissæren med ansvar for aflytning finder, at der har været tale om en forsætlig eller uforsvarlig fejl, må denne imidlertid ikke videregive oplysninger, hvis en videregivelse ville bringe den nationale sikkerhed i fare.

III – Tvisterne i hovedsagerne og de præjudicielle spørgsmål

A –    Sag C-203/15

50.      Den 9. april 2014, dvs. dagen efter Digital Rights-dommen blev afsagt, meddelte Tele2 Sverige Post- och telestyrelsen, at selskabet havde besluttet at ophøre med at lagre de data, der er omhandlet i LEK’s kapitel 6. Tele2 Sverige ville også slette data, som frem til dette tidspunkt var lagret i henhold til dette kapitel. Det er Tele2 Sveriges opfattelse, at den svenske lovgivning, som gennemfører direktiv 2006/24, ikke er i overensstemmelse med chartret.

51.      Den 15. april 2014 fremsendte Rikspolisstyrelsen (den nationale rigspolitistyrelse, Sverige) en klage til Post- och telestyrelsen, idet Tele2 Sverige var ophørt med at videregive data vedrørende visse former for elektronisk kommunikation til politiets tjenestegrene. I klagen anførte Rikspolisstyrelsen, at Tele2 Sveriges afvisning heraf ville få alvorlige konsekvenser for politiets retshåndhævende virksomhed.

52.      Ved påbud af 27. juni 2014 pålagde Post- och telestyrelsen Tele2 Sverige at genoptage datalagringen i henhold til LEK’s kapitel 6, § 16a, og FEK’s §§ 37-43 senest den 25. juli 2014.

53.      Tele2 Sverige påklagede Post- och telestyrelsens afgørelse til Förvaltningsrätten i Stockholm (forvaltningsdomstolen i Stockholm, Sverige). Ved dom af 13. oktober 2014 frifandt Förvaltningsrätten i Stockholm Post- och telestyrelsen.

54.      Tele2 Sverige har iværksat appel af dommen afsagt af Förvaltningsrätten i Stockholm (forvaltningsdomstolen i Stockholm, Sverige) for den forelæggende ret og har herved nedlagt påstand om annullation af den anfægtede afgørelse.

55.      Da Kammarrätten i Stockholm (appeldomstolen i forvaltningsretlige sager i Stockholm, Sverige) er af den opfattelse, at der foreligger argumenter både for og imod spørgsmålet om, hvorvidt en lagringspligt af et sådant omfang som den, der er fastsat i LEK’s kapitel 6, § 16a, er forenelig med bestemmelserne i artikel 15, stk. 1, i direktiv 2002/58 samt chartrets artikel 7, artikel 8 og artikel 52, stk. 1, har den besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Er en generel forpligtelse til at lagre trafikdata, som omfatter alle personer, alle elektroniske kommunikationsmidler og alle trafikdata uden forskel, begrænsninger eller undtagelser med henblik på at bekæmpe strafbare lovovertrædelser (som beskrevet [i forelæggelsesafgørelsens] punkt 13-18) forenelig med artikel 15, stk. 1, i direktiv 2002/58/EF, henset til chartrets artikel 7, artikel 8 og artikel 52, stk. 1?

2)      Hvis spørgsmål 1 besvares benægtende, kan lagringen da alligevel være tilladt, hvis

a)      de nationale myndigheders adgang til de lagrede data fastsættes som beskrevet [i forelæggelsesafgørelsens] punkt 19-36, og

b)      sikkerhedskravene er reguleret som beskrevet [i forelæggelsesafgørelsens] punkt 38-43, og

c)      alle relevante data lagres i seks måneder, regnet fra den dag, kommunikationen blev afsluttet, og herefter slettes som beskrevet [i forelæggelsesafgørelsens] punkt 37?«

B –    Sag C-698/15

56.      Tom Watson, Peter Brice og Geoffrey Lewis har anlagt sag ved High Court of Justice (England & Wales), Queen’s Bench Division (Administrative Court) (ret i første instans (England og Wales) (forvaltningsretlige sager)) med henblik på prøvelse af lovligheden (»judicial review«) af den ordning til datalagring, der er indeholdt i DRIPA’s section 1, hvorved Secretary of State er beføjet til at pålægge offentlige udbydere af telekommunikation at opbevare alle kommunikationsdata i højst 12 måneder, idet lagring af de omhandlede kommunikationers indhold er udelukket herfra.

57.      Open Rights Group, Privacy International og Law Society of England and Wales har fået tilladelse til at intervenere i disse søgsmål.

58.      Ved dom af 17. juli 2015 fastslog nævnte ret, at ordningen ikke er forenelig med EU-retten, for så vidt som den ikke overholder kravene i medfør af Digital Rights-dommen, der ifølge retten finder anvendelse på medlemsstaternes lovgivning vedrørende elektronisk kommunikation og adgangen til sådanne data. Secretary of State har iværksat appel til prøvelse af denne dom ved den forelæggende ret.

59.      Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige) har i dom af 20. november 2015 givet udtryk for den foreløbige opfattelse, at Digital Rights-dommen ikke fastsætter ufravigelige EU-retlige krav, som den nationale lovgivning skal overholde, men ganske enkelt identificerede og beskrev beskyttelsesforanstaltninger, der ikke fandtes i den harmoniserede EU-ordning.

60.      Da Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige) imidlertid er af den opfattelse, at svarene på disse EU-retlige spørgsmål ikke er klare, men er nødvendige for, at den kan træffe afgørelse i sagen, har den besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Fastsætter [Digital Rights-dommen] (herunder navnlig dommens præmis 60 og 62) ufravigelige EU-retlige krav, der finder anvendelse på en medlemsstats nationale ordning for adgang til data, der er lagret i overensstemmelse med national lovgivning, med henblik på at overholde [chartrets] artikel 7 og 8 [...]?

2)      Udvider [Digital Rights-dommen] anvendelsesområdet for chartrets artikel 7 og/eller 8 ud over anvendelsesområdet for artikel 8 i den europæiske menneskerettighedskonvention (herefter »EMRK«), således som dette er fastslået i praksis fra Den Europæiske Menneskerettighedsdomstol [...]?«

IV – Retsforhandlingerne for Domstolen

61.      Anmodningerne om præjudiciel afgørelse blev registreret på Domstolens Justitskontor den 4. maj 2015 i sag C-203/15 og den 28. december 2015 i sag C-698/15.

62.      Ved kendelse af 1. februar 2016 har Domstolen besluttet at undergive sag C-698/15 den fremskyndede procedure efter artikel 105, stk. 1, i Domstolens procesreglement.

63.      I sag C-203/15 har Tele2 Sverige, den belgiske, den tjekkiske, den danske, den tyske, den estiske, den spanske, den franske, den ungarske, den nederlandske og den svenske regering, Irland, Det Forenede Kongeriges regering og Europa-Kommissionen indgivet skriftlige indlæg.

64.      I sag C-698/15 har Tom Watson, Peter Brice, Geoffrey Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, den tjekkiske, den danske, den tyske, den estiske, den franske, den cypriotiske, den polske og den finske regering, Irland, Det Forenede Kongeriges regering og Europa-Kommissionen indgivet skriftlige indlæg.

65.      Ved Domstolens afgørelse af 10. marts 2016 er de to sager blevet forenet med henblik på den mundtlige forhandling og dommen.

66.      Under retsmødet den 12. april 2016 blev der afgivet mundtlige indlæg af repræsentanterne for Tele2 Sverige, Tom Watson, Peter Brice, Geoffrey Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, den tjekkiske, den danske, den tyske, den estiske, den spanske, den franske, den finske og den svenske regering, Irland, Det Forenede Kongeriges regering og Europa-Kommissionen.

V –    Bedømmelse af de præjudicielle spørgsmål

67.      Med det første spørgsmål i sag C-203/15 ønsker den forelæggende ret oplyst, om artikel 15, stk. 1, i direktiv 2002/58 og chartrets artikel 7, artikel 8 og artikel 52, stk. 1, i lyset af Digital Rights-dommen skal fortolkes således, at de er til hinder for, at en medlemsstat pålægger udbyderne en generel pligt til datalagring såsom den i hovedsagerne omhandlede, uafhængigt af hvilke garantier der eventuelt ledsager denne pligt.

68.      Såfremt dette spørgsmål skal besvares benægtende, ønskes det med det andet spørgsmål i sag C-203/15 og det første spørgsmål i sag C-698/15 oplyst, om disse bestemmelser skal fortolkes således, at de er til hinder for, at en medlemsstat pålægger udbyderne en generel pligt til datalagring, såfremt denne pligt ikke ledsages af samtlige de garantier, som Domstolen fastslog i Digital Rights-dommens præmis 60-68 vedrørende dataadgang, lagringens varighed, databeskyttelse og datasikkerhed.

69.      Da disse tre spørgsmål er nært forbundne, vil jeg i det følgende behandle dem samlet.

70.      Det andet spørgsmål i sag C-698/15 skal derimod behandles særskilt. Med dette spørgsmål ønsker den forelæggende ret oplyst, om Digital Rights-dommen har udvidet anvendelsesområdet for chartrets artikel 7 og/eller 8 til at gå ud over anvendelsesområdet for EMRK’s artikel 8. Jeg vil i det følgende afsnit redegøre for grundene til, at dette spørgsmål bør afvises fra realitetsbehandling.

71.      Inden undersøgelsen af disse spørgsmål påbegyndes, finder jeg det hensigtsmæssigt at nævne, hvilken type data der er omfattet af den i hovedsagerne omhandlede lagringspligt. Ifølge de forelæggende retters konstateringer svarer rækkevidden af denne pligt i det væsentlige til den forpligtelse, der er fastsat i artikel 5 i direktiv 2006/24 (8). De kommunikationsdata, der er genstand for lagringspligten, kan skematisk opdeles i fire kategorier (9):

–        data, der gør det muligt at identificere såvel kommunikationens kilde som bestemmelsessted

–        data, der gør det muligt at lokalisere såvel kommunikationens kilde som bestemmelsessted

–        data vedrørende en kommunikations dato, klokkeslæt og varighed og

–        data, der gør det muligt at fastslå kommunikationstypen, og hvilken type udstyr der er anvendt.

72.      Indholdet af kommunikationen er udelukket fra den i hovedsagerne omhandlede generelle pligt til datalagring i lighed med, hvad der var fastsat i artikel 5, stk. 2, i direktiv 2006/24.

A –    Om formaliteten med hensyn til det andet spørgsmål i sag C-698/15

73.      Med det andet spørgsmål i sag C-698/15 ønskes det oplyst, om Digital Rights-dommen udvider anvendelsesområdet for chartrets artikel 7 og/eller 8 til at gå ud over anvendelsesområdet for EMRK’s artikel 8, således som denne bestemmelse fortolkes af Den Europæiske Menneskerettighedsdomstol.

74.      Dette spørgsmål afspejler bl.a. et argument, som Secretary of State har fremført for den forelæggende ret, hvorefter det for det første i henhold til Den Europæiske Menneskerettighedsdomstols praksis ikke kræves, at adgangen til data er underlagt et krav om forudgående tilladelse fra et uafhængigt organ, og for det andet ikke kræves, at lagringen af og adgangen til data er begrænset til bekæmpelsen af grov kriminalitet.

75.      Det er min vurdering, at dette spørgsmål af de følgende grunde ikke kan antages til realitetsbehandling. Den begrundelse og den løsning, som Domstolen fastslog i Digital Rights-dommen, er helt åbenlyst af afgørende betydning for at kunne afgøre tvisterne i hovedsagerne. Den omstændighed, at denne dom eventuelt måtte have udvidet anvendelsesområdet for chartrets artikel 7 og/eller 8 til at gå ud over anvendelsesområdet for EMRK’s artikel 8, er imidlertid ikke i sig selv relevant for afgørelsen af disse tvister.

76.      I denne henseende bemærkes, at i overensstemmelse med artikel 6, stk. 3, TEU udgør de grundlæggende rettigheder, således som de er garanteret ved EMRK, generelle principper i EU-retten. Da Unionen imidlertid ikke har tiltrådt denne konvention, udgør den ikke et retligt instrument, der er formelt integreret i Unionens retsorden (10).

77.      Chartrets artikel 52, stk. 3, første punktum, fastsætter ganske vist en fortolkningsregel, hvoraf følger, at i det omfang chartret indeholder rettigheder svarende til dem, der er sikret ved EMRK, »har de samme betydning og omfang som i konventionen«.

78.      Det følger imidlertid af chartrets artikel 52, stk. 3, andet punktum, at »[d]enne bestemmelse [ikke er] til hinder for, at EU-retten kan yde en mere omfattende beskyttelse«. Efter min opfattelse følger det af dette punktum, at det er muligt for Domstolen at udvide anvendelsesområdet for chartrets bestemmelser til at gå ud over anvendelsesområdet for de tilsvarende bestemmelser i EMRK, såfremt den i en EU-retlig sammenhæng finder dette nødvendigt.

79.      Subsidiært tilføjes, at chartrets artikel 8 som fortolket af Domstolen i Digital Rights-dommen fastsætter en rettighed, som ikke svarer til en ved EMRK sikret rettighed, nemlig retten til beskyttelse af personoplysninger, hvilket i øvrigt bekræftes af forklaringerne til chartrets artikel 52 (11). Fortolkningsreglen i chartrets artikel 52, stk. 3, første punktum, finder følgelig under alle omstændigheder ikke anvendelse på fortolkningen af chartrets artikel 8, således som Peter Brice, Geoffrey Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, den tjekkiske og den finske regering samt Irland har anført.

80.      Det følger af det ovenstående, at EU-retten ikke er til hinder for, at chartrets artikel 7 og 8 tillægger en mere omfattende beskyttelse end den, der er fastsat i EMRK. Den omstændighed, at Digital Rights-dommen eventuelt måtte have udvidet anvendelsesområdet for disse bestemmelser i chartret til at gå ud over anvendelsesområdet for EMRK’s artikel 8, er derfor ikke i sig selv relevant for afgørelsen af tvisterne i hovedsagerne. Løsningen af disse tvister afhænger grundlæggende af spørgsmålet om, på hvilke betingelser en generel pligt til datalagring kan anses for at være forenelig med artikel 15, stk. 1, i direktiv 2002/58 og med chartrets artikel 7, artikel 8 og artikel 52, stk. 1, fortolket i lyset af Digital Rights-dommen, hvilket netop er genstanden for de tre andre spørgsmål, der er stillet i de foreliggende sager.

81.      Det følger af fast retspraksis, at det kun er muligt at afvise en national rets anmodning om en præjudiciel afgørelse, når det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en saglig korrekt besvarelse af de stillede spørgsmål (12).

82.      Af de ovenfor anførte grunde forekommer det mig, at det andet spørgsmål i det foreliggende tilfælde alene er af teoretisk interesse, eftersom en eventuel besvarelse heraf ikke gør det muligt at udlede de elementer til fortolkning af EU-retten, som den forelæggende ret måtte finde relevante at benytte med henblik på at træffe afgørelse i den for retten verserende sag på grundlag af EU-retten (13).

83.      På denne baggrund finder jeg, at dette spørgsmål bør afvises fra realitetsbehandling, således som Tom Watson, Law Society of England and Wales og den tjekkiske regering med rette har gjort gældende.

B –    Om foreneligheden af en generel pligt til datalagring med den ordning, der er fastsat i direktiv 2002/58

84.      Dette afsnit omhandler medlemsstaternes mulighed for at anvende den mulighed, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, med henblik på at pålægge en generel pligt til datalagring. I dette afsnit vil der derimod ikke blive foretaget en undersøgelse af de særlige krav, som de medlemsstater, der ønsker at anvende denne mulighed, skal overholde, idet disse krav vil blive fyldestgørende undersøgt i senere afsnit (14).

85.      Open Rights Group og Privacy International har således gjort gældende, at en sådan pligt er uforenelig med den harmoniserede ordning, der er indført ved direktiv 2002/58, og at dette er tilfældet uafhængigt af, om de krav, der følger af artikel 15, stk. 1, i direktiv 2002/58, er overholdt, eftersom en sådan pligt grundlæggende fratager de rettigheder og den ordning, der er fastsat i direktivet, deres væsentligste indhold.

86.      Inden undersøgelsen af dette argument skal det efterprøves, om en generel pligt til datalagring er omfattet af nævnte direktivs anvendelsesområde.

1.      Om en generel pligt til datalagring er omfattet af anvendelsesområdet for direktiv 2002/58

87.      Ingen af de parter, der har indgivet indlæg til Domstolen, har bestridt den omstændighed, at en generel pligt til datalagring som den i hovedsagerne omhandlede er omfattet af begrebet »behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i [Unionen]« som omhandlet i artikel 3 i direktiv 2002/58.

88.      Den tjekkiske, den franske og den polske regering samt Det Forenede Kongeriges regering har imidlertid gjort gældende, at en generel pligt til datalagring er omfattet af den undtagelse, der er fastsat i artikel 1, stk. 3, i direktiv 2002/58. Dels vedrører de nationale bestemmelser, som regulerer dataadgang og ‑anvendelse for medlemsstaternes politi og retslige myndigheder, den offentlige sikkerhed, forsvaret eller statens sikkerhed, eller også er de i det mindste omfattet af strafferetten. Dels er det eneste formål med datalagringen at gøre det muligt for politiet og de retslige myndigheder at få adgang til disse data og anvende dem. En generel pligt til datalagring er derfor udelukket fra direktivets anvendelsesområde i henhold til nævnte bestemmelse.

89.      Af de følgende grunde overbeviser denne argumentation mig ikke.

90.      For det første bekræfter ordlyden af artikel 15, stk. 1, i direktiv 2002/58, at de lagringsforpligtelser, som medlemsstaterne indfører, er omfattet af direktivets anvendelsesområde. Det fremgår således af denne bestemmelse, at »[m]ed henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke«. Det forekommer mig i det mindste vanskeligt at hævde, at lagringsforpligtelser er udelukket fra direktivets anvendelsesområde, eftersom direktivets artikel 15, stk. 1, netop regulerer muligheden for at vedtage sådanne forpligtelser.

91.      Som Tom Watson, Peter Brice, Geoffrey Lewis, den belgiske, den danske, den tyske og den finske regering samt Kommissionen har gjort gældende, udgør en generel pligt til datalagring som den i hovedsagerne omhandlede reelt en gennemførelse af artikel 15, stk. 1, i direktiv 2002/58.

92.      For det andet indebærer den omstændighed, at de bestemmelser, som regulerer adgangen, kan være omfattet af undtagelsen i artikel 1, stk. 3, i direktiv 2002/58 (15), ikke, at lagringspligten også er omfattet heraf og dermed befinder sig uden for direktivets anvendelsesområde.

93.      I denne henseende har Domstolen allerede haft lejlighed til at præcisere, at de aktiviteter, der er nævnt i artikel 3, stk. 2, første led, i direktiv 95/46/EF (16), hvis ordlyd har en rækkevidde, der svarer til rækkevidden af artikel 1, stk. 3, i direktiv 2002/58, er statens eller statslige myndigheders aktiviteter og ikke har noget at gøre med området for den enkelte borgers aktiviteter (17).

94.      Den i hovedsagerne omhandlede lagringspligt pålægges imidlertid private erhvervsdrivende i forbindelse med private aktiviteter, der består i levering af elektroniske kommunikationstjenester, således som Kommissionen har anført. Denne pligt pålægges desuden uafhængigt af enhver anmodning om adgang indgivet af politiet eller retslige myndigheder og mere generelt uafhængigt af enhver handling fra statslige myndigheder på området for den offentlige sikkerhed, forsvaret, statens sikkerhed eller på det strafferetlige område.

95.      For det tredje bekræfter Domstolens løsning i dommen i sagen Irland mod Parlamentet og Rådet, at en generel pligt til datalagring ikke henhører under det strafferetlige område (18). Domstolen fastslog således, at direktiv 2006/24, som fastsatte en sådan pligt, ikke henhørte under det strafferetlige område, men vedrørte det indre markeds funktion, således at artikel 95 EF (nu artikel 114 TEUF) udgjorde det korrekte retsgrundlag for vedtagelsen af nævnte direktiv.

96.      For at nå frem til denne konklusion fastslog Domstolen bl.a., at direktivets bestemmelser i det væsentlige var begrænset til udbydernes virksomhed og ikke regulerede medlemsstaternes politi eller retslige myndigheders adgang til eller anvendelse af data (19). Jeg udleder heraf, at bestemmelser i national lovgivning, som fastsætter en lagringspligt, der svarer til den, der var fastsat i direktiv 2006/24, heller ikke henhører under det strafferetlige område.

97.      Henset til det ovenstående er det min opfattelse, at en generel pligt til datalagring ikke er omfattet af den undtagelse, der er fastsat i artikel 1, stk. 3, i direktiv 2002/58, og dermed falder ind under direktivets anvendelsesområde.

2.      Om muligheden for at fravige den ordning, der er fastsat i direktiv 2002/58, ved at fastsætte en generel pligt til datalagring

98.      Det skal nu fastlægges, om en generel pligt til datalagring er forenelig med den ordning, der er indført ved direktiv 2002/58.

99.      I denne forbindelse opstår spørgsmålet om, hvorvidt det er muligt for en medlemsstat at anvende den mulighed, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, med henblik på at pålægge en sådan pligt.

100. Der er blevet fremsat fire argumenter mod en sådan mulighed, bl.a. af Open Rights Group og Privacy International.

101. Ifølge det første argument kan den omstændighed, at medlemsstaterne tillægges en beføjelse til at vedtage en generel pligt til datalagring, bringe det harmoniseringsformål, som er begrundelsen for direktiv 2002/58, i fare. Ifølge direktivets artikel 1, stk. 1, tager det nemlig sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatlivets fred og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Unionen.

102. Artikel 15, stk. 1, i direktiv 2002/58 kan derfor ikke fortolkes således, at det giver medlemsstaterne beføjelse til at vedtage en undtagelse fra den ordning, der fastsættes i direktivet, af et sådant omfang, at denne harmoniseringsbestræbelse fratages enhver effektiv virkning.

103. Ifølge det andet argument er ordlyden af artikel 15, stk. 1, i direktiv 2002/58 ligeledes til hinder for en så vid fortolkning af medlemsstaternes beføjelse til at fravige den ordning, der er fastsat i direktivet. Det følger nemlig af denne bestemmelse, at »[m]edlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i [direktivets] artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9« (min fremhævelse).

104. En generel pligt til datalagring er imidlertid ikke begrænset til at »indskrænke rækkevidden« af de rettigheder og forpligtelser, der er nævnt i bestemmelsen, men fratager disse rettigheder og forpligtelser enhver virkning. Dette er tilfældet for:

–        forpligtelsen til at sikre trafikdatahemmeligheden og forpligtelsen til at undergive lagring af oplysninger en betingelse om brugerens samtykke, som henholdsvis er fastsat i artikel 5, stk. 1 og 3, i direktiv 2002/58

–        forpligtelsen til at slette eller anonymisere trafikdata, som er fastsat i direktivets artikel 6, stk. 1, og

–        forpligtelsen til at anonymisere lokaliseringsdata eller til at opnå brugerens samtykke til behandlingen heraf, som er pålagt ved direktivets artikel 9, stk. 1.

105. Af de følgende grunde kan disse to første argumenter efter min opfattelse ikke tiltrædes.

106. For det første nævner ordlyden af artikel 15, stk. 1, i direktiv 2002/58 medlemsstaternes mulighed for at vedtage »retsforskrifter om lagring af data i en begrænset periode«. Denne udtrykkelige henvisning til datalagringsforpligtelser bekræfter, at sådanne forpligtelser ikke i sig selv er uforenelige med den ordning, der er fastsat i direktiv 2002/58. Selv om denne formulering ikke udtrykkeligt foreskriver en mulighed for at vedtage en generel pligt til datalagring, må det fastslås, at den heller ikke forbyder det.

107. For det andet præciseres det i 11. betragtning til direktiv 2002/58, at direktivet ikke ændrer »den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med [EMRK]«.

108. Det følger efter min opfattelse af nævnte 11. betragtning, at EU-lovgivers hensigt ikke var at gribe ind i medlemsstaternes mulighed for at vedtage de foranstaltninger, der er omhandlet i artikel 15, stk. 1, i direktiv 2002/58, men derimod at undergive denne mulighed visse krav, som bl.a. vedrører de forfulgte mål og disse foranstaltningers forholdsmæssighed. Med andre ord er en generel pligt til datalagring efter min opfattelse ikke uforenelig med den ordning, der er fastsat i direktivet, såfremt den overholder visse betingelser.

109. Ifølge det tredje argument skal artikel 15, stk. 1, i direktiv 2002/58 i sin egenskab af undtagelse fra den ordning, der er fastsat i direktivet, være genstand for en streng fortolkning, hvilket følger af en fortolkningsregel i Domstolens faste praksis. Denne regel om en streng fortolkning forbyder, at denne bestemmelse fortolkes således, at den giver mulighed for at pålægge en generel pligt til datalagring.

110. I denne henseende er det min opfattelse, at den mulighed, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, ikke kan kvalificeres som en undtagelse og følgelig ikke skal undergives en streng fortolkning, således som Kommissionen med rette har anført. Det forekommer mig således vanskeligt at kvalificere denne mulighed som en undtagelse, henset til den ovenfor nævnte 11. betragtning, ifølge hvilken direktivet ikke berører medlemsstaternes mulighed for at vedtage de foranstaltninger, der er omhandlet i bestemmelsen. Det bemærkes desuden, at direktivets artikel 15 har overskriften »Anvendelsesområdet for visse bestemmelser i direktiv 95/46/EF«, mens direktivets artikel 10 udtrykkeligt har overskriften »Undtagelsesbestemmelser«. Disse overskrifter bestyrker mig i den opfattelse, at den i artikel 15 fastsatte mulighed ikke kan kvalificeres som en »undtagelse«.

111. Ifølge det fjerde og sidste argument underbygges uforeneligheden af en generel pligt til datalagring med den ordning, der er fastsat i direktiv 2002/58, ved tilføjelsen af direktivets artikel 15, stk. 1a, i forbindelse med vedtagelsen af direktiv 2006/24, som blev kendt ugyldigt ved Digital Rights-dommen. I medfør af dette argument var det denne uforenelighed, der ledte EU-lovgiver til at fastslå, at artikel 15, stk. 1, i direktiv 2002/58 ikke finder anvendelse på den ordning for generel lagring, der var fastsat i direktiv 2006/24.

112. Dette argument synes efter min opfattelse at hvile på en fejlagtig forståelse af rækkevidden af artikel 15, stk. 1a, i direktiv 2002/58. I medfør af denne bestemmelse »[finder artikel 15, stk. 1, i direktiv 2002/58] ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til [direktiv 2006/24] til de formål, der er omhandlet i nævnte direktivs artikel 1, stk. 1«.

113. Jeg fortolker denne bestemmelse på følgende måde. For så vidt angår data, som i medfør af direktiv 2006/24 kræves lagret til de formål, der er fastsat heri, har medlemsstaterne mistet den i artikel 15, stk. 1, i direktiv 2002/58 fastsatte mulighed til yderligere at indskrænke rækkevidden af de rettigheder og forpligtelser, der er omhandlet i bestemmelsen, herunder ved hjælp af supplerende forpligtelser til datalagring. Med andre ord fastsætter artikel 15, stk. 1a, en udtømmende harmonisering for så vidt angår data, som i medfør af direktiv 2006/24 kræves lagret til de formål, der er fastsat heri.

114. Efter min opfattelse bekræftes denne fortolkning af 12. betragtning til direktiv 2006/24, hvoraf fremgår, at »[a]rtikel 15, stk. 1, i direktiv [2002/58] [fortsat vil] finde anvendelse for data, herunder data om forgæves opkaldsforsøg, der ikke udtrykkelig kræves lagret i henhold til nærværende direktiv og dermed falder uden for dets anvendelsesområde, samt for lagring til andre, herunder retlige, formål end dem, der er omfattet af nærværende direktiv« (min fremhævelse).

115. Indsættelsen af artikel 15, stk. 1a, i direktiv 2002/58 vidner således ikke om uforeneligheden af en generel pligt til datalagring med den ordning, der er fastsat i direktivet, men derimod om EU-lovgivers ønske om at foretage en udtømmende harmonisering med direktiv 2006/24.

116. Henset til det ovenstående finder jeg, at en generel pligt til datalagring er forenelig med den ordning, der er fastsat i direktiv 2002/58, og følgelig, at det er muligt for en medlemsstat at anvende den mulighed, som direktivets artikel 15, stk. 1, giver med henblik på at pålægge en sådan pligt (20). Anvendelsen af denne mulighed er imidlertid undergivet en betingelse om overholdelse af strenge krav, som ikke alene følger af denne bestemmelse, men også af relevante bestemmelser i chartret, sammenholdt med Digital Rights-dommen, som vil blive behandlet i et efterfølgende afsnit (21).

C –    Om chartret finder anvendelse på en generel pligt til datalagring

117. Inden undersøgelsen af indholdet af de krav, som pålægges ved chartret, sammenholdt med artikel 15, stk. 1, i direktiv 2002/58, såfremt en medlemsstat vælger at indføre en generel pligt til datalagring, skal det efterprøves, om chartret finder anvendelse på en sådan pligt.

118. Spørgsmålet om, hvorvidt chartret finder anvendelse på en generel pligt til datalagring, afhænger grundlæggende af, om direktiv 2002/58 finder anvendelse på en sådan pligt.

119. Det følger nemlig af chartrets artikel 51, stk. 1, første punktum, at »[b]estemmelserne i [chartret] er rettet til [...] medlemsstaterne, dog kun når de gennemfører EU-retten«. Forklaringerne til chartrets artikel 51 henviser i denne henseende til Domstolens praksis, ifølge hvilken forpligtelsen til at respektere de grundlæggende rettigheder, der er fastlagt inden for rammerne af Unionen, kun påhviler medlemsstaterne, når de handler inden for rammerne af EU-retten (22).

120. Den tjekkiske, den franske og den polske regering samt Det Forenede Kongeriges regering, som har bestridt, at direktiv 2002/58 finder anvendelse på en generel pligt til datalagring (23), har ligeledes gjort gældende, at chartret ikke finder anvendelse på en sådan pligt.

121. Jeg har allerede redegjort for grundene til, at jeg finder, at en generel pligt til datalagring udgør en gennemførelse af den mulighed, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58 (24).

122. Det er følgelig min opfattelse, at chartrets bestemmelser i henhold til dets artikel 51, stk. 1, finder anvendelse på nationale foranstaltninger, som indfører en sådan pligt, således som Tom Watson, Peter Brice, Geoffrey Lewis, Open Rights Group, Privacy International, den danske, den tyske og den finske regering samt Kommissionen har gjort gældende (25).

123. Denne konklusion berøres ikke af den omstændighed, at de nationale bestemmelser, som regulerer adgangen til de lagrede data, ikke i sig selv falder ind under chartrets anvendelsesområde.

124. For så vidt som de vedrører »statens aktiviteter på det strafferetlige område«, er de nationale bestemmelser, som regulerer politiets og de retslige myndigheders adgang til de lagrede data med henblik på bekæmpelse af grov kriminalitet, ganske vist efter min opfattelse omfattet af undtagelsen i artikel 1, stk. 3, i direktiv 2002/58 (26). Sådanne nationale bestemmelser gennemfører følgelig ikke EU-retten, således at chartret heller ikke finder anvendelse herpå.

125. Begrundelsen for en datalagringspligt er imidlertid at gøre det muligt for de retshåndhævende myndigheder at få adgang til de lagrede data, således at problemstillingen med hensyn til henholdsvis lagring og adgang ikke fuldstændigt kan adskilles. Som Kommissionen med rette har fremhævet, har de bestemmelser, der regulerer adgangen, afgørende betydning med hensyn til bedømmelsen af, om de bestemmelser, der indfører en generel pligt til datalagring, og som gennemfører artikel 15, stk. 1, i direktiv 2002/58, er forenelige med chartret. De bestemmelser, der regulerer adgangen, skal nærmere bestemt tages i betragtning ved vurderingen af nødvendigheden og forholdsmæssigheden af en sådan pligt (27).

D –    Om foreneligheden af en generel pligt til datalagring med de krav, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58 og i chartrets artikel 7, artikel 8 og artikel 52, stk. 1

126. Tilbage står nu at undersøge det vanskelige spørgsmål om, hvorvidt en generel pligt til datalagring er forenelig med de krav, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58 og i chartrets artikel 7, artikel 8 og artikel 52, stk. 1, sammenholdt med Digital Rights-dommen. Dette spørgsmål vedrører mere generelt den nødvendige tilpasning af den retlige ramme for staternes overvågningskapacitet, som er blevet udvidet betydeligt som følge af den seneste teknologiske udvikling (28).

127. Det første trin af enhver analyse i denne sammenhæng består i konstateringen af, at der foreligger et indgreb i de rettigheder, der er fastsat i direktiv 2002/58, og de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8.

128. En sådan pligt udgør således et alvorligt indgreb i retten til respekt for privatlivet, som er sikret ved chartrets artikel 7, og retten til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 8. Jeg finder det ufornødent at uddybe yderligere med hensyn til konstateringen af, at der foreligger et indgreb, hvilket Domstolen klart fastslog i Digital Rights-dommens præmis 32-37 (29). En generel pligt til datalagring udgør ligeledes et indgreb i flere af de rettigheder, der er fastsat i direktiv 2002/58 (30).

129. Det andet trin af analysen består i at fastlægge, om dette alvorlige indgreb i de rettigheder, der er fastsat i direktiv 2002/58, og de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, kan begrundes, og under hvilke betingelser.

130. To bestemmelser fastsætter de betingelser, der skal være opfyldt, for at disse indgreb er begrundede: artikel 15, stk. 1, i direktiv 2002/58, som fastsætter medlemsstaternes mulighed for at begrænse rækkevidden af visse af de rettigheder, der er fastsat i direktivet, og chartrets artikel 52, stk. 1, sammenholdt med Digital Rights-dommen, som regulerer enhver begrænsning af udøvelsen af de rettigheder, der er sikret ved chartret.

131. Det skal fremhæves, at disse krav er kumulative. Overholdelsen af de krav, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, indebærer således ikke i sig selv, at kravene i chartrets artikel 52, stk. 1, er opfyldt, og omvendt (31). En generel pligt til datalagring kan følgelig ikke anses for forenelig med EU-retten, medmindre den opfylder både de krav, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, og de krav, der er fastsat i chartrets artikel 52, stk. 1, således som Law Society of England and Wales har fremhævet (32).

132. Disse to bestemmelser fastsætter seks krav, som skal være opfyldt, for at det indgreb, som en generel pligt til datalagring indebærer, kan begrundes:

–        Lagringspligten skal have et retsgrundlag.

–        Den skal respektere det væsentligste indhold af de rettigheder og friheder, der er sikret ved chartret.

–        Den skal forfølge et mål af almen interesse.

–        Den skal være passende med hensyn til at forfølge dette mål.

–        Den skal være nødvendig for at forfølge dette mål.

–        Den skal være forholdsmæssig i et demokratisk samfund ved forfølgelsen af dette mål.

133. Flere af disse betingelser er allerede blevet nævnt af Domstolen i Digital Rights-dommen. Af klarhedshensyn, og henset til de særlige omstændigheder i nærværende sager i forhold til Digital Rights-sagen, ønsker jeg imidlertid at behandle hver af disse betingelser ved at foretage en detaljeret undersøgelse af kravene vedrørende retsgrundlaget og den nødvendige og forholdsmæssige karakter af en generel pligt til datalagring i et demokratisk samfund.

1.      Om kravet om et retsgrundlag i national ret

134. Såvel chartrets artikel 52, stk. 1, som artikel 15, stk. 1, i direktiv 2002/58 fastsætter krav til det retsgrundlag, som en medlemsstat skal anvende for at pålægge en generel pligt til datalagring.

135. For det første skal enhver begrænsning i udøvelsen af de rettigheder, der anerkendes ved chartret, være »fastlagt i lovgivningen« i medfør af chartrets artikel 52, stk. 1. Jeg præciserer, at dette krav ikke blev formelt behandlet af Domstolen i Digital Rights-dommen, som vedrørte et indgreb fastsat i et direktiv.

136. Frem til den nylige afsigelse af dom WebMindLicenses (33) havde Domstolen aldrig udtalt sig om den nøjagtige rækkevidde af dette krav, heller ikke i tilfælde, hvor den udtrykkeligt fastslog, at dette krav enten var (34) eller ikke var (35) opfyldt. I nævnte doms præmis 81 udtalte Domstolens Tredje Afdeling følgende:

»I denne forbindelse må det fremhæves, at kravet om, at enhver begrænsning af udøvelsen af denne rettighed skal være fastlagt i lovgivningen, indebærer, at det retsgrundlag, som tillader afgiftsmyndigheden at anvende de beviser, der er nævnt i ovenstående præmis, skal være tilstrækkeligt klart og præcist, og at det ved selv at definere rækkevidden af begrænsningen af udøvelsen af rettigheden, der er sikret ved chartrets artikel 7, giver en vis beskyttelse mod eventuelle vilkårlige indgreb fra denne myndighed (jf. bl.a. Den Europæiske Menneskerettighedsdomstols dom i sagen Malone mod Det Forenede Kongerige, 2.8.1984, serie A, nr. 82, § 67, og i sagen Gillan og Quinton mod Det Forenede Kongerige, 12.1.2010, nr. 4158/05, § 77, ECHR 2010).«

137. Af de følgende grunde vil jeg opfordre Domstolens Store Afdeling til at bekræfte denne fortolkning i nærværende sager.

138. Som generaladvokat Cruz Villalón med rette anførte i forslag til afgørelse Scarlet Extended (36), har Den Europæiske Menneskerettighedsdomstol udviklet en rig retspraksis vedrørende dette krav inden for rammerne af EMRK, som er karakteriseret ved, at begrebet »lov« skal forstås materielt og ikke formelt (37).

139. Ifølge denne retspraksis indebærer udtrykket »i overensstemmelse med loven«, at retsgrundlaget skal være tilstrækkeligt tilgængeligt og forudsigeligt, dvs. være affattet tilstrækkeligt præcist til, at en person, om fornødent efter at have indhentet kyndige råd, kan tilpasse sin adfærd. Retsgrundlaget skal ligeledes yde en tilstrækkelig beskyttelse mod vilkårlighed og følgelig tilstrækkeligt klart fastsætte omfanget af og fremgangsmåden ved udøvelsen af de beføjelser, der tillægges de kompetente myndigheder (retsstatsprincippet) (38).

140. Af de følgende grunde er det efter min opfattelse nødvendigt, at udtrykket »fastlagt i lovgivningen«, som er anvendt i chartrets artikel 52, stk. 1, tillægges en tilsvarende rækkevidde, som ovennævnte udtryk er tillagt inden for rammerne af EMRK.

141. For det første følger det af chartrets artikel 53 og af forklaringerne til denne artikel, at det beskyttelsesniveau, der tillægges ved chartret, aldrig må være ringere end det, der er sikret ved EMRK. Dette forbud mod at underskride »EMRK-tærsklen« indebærer, at Domstolens fortolkning af udtrykket »fastlagt i lovgivningen« som anvendt i chartrets artikel 52, stk. 1, skal være mindst lige så streng som Den Europæiske Menneskerettighedsdomstols fortolkning inden for rammerne af EMRK (39).

142. Henset til den horisontale karakter af dette krav, som finder anvendelse på flere typer indgreb såvel inden for rammerne af chartret som inden for rammerne af EMRK (40), vil det for det andet være uhensigtsmæssigt at underlægge medlemsstaterne forskellige kriterier, alt efter om indgrebet undersøges i forhold til det ene eller det andet af disse instrumenter (41).

143. Det er derfor min vurdering, at udtrykket »fastlagt i lovgivningen« som anvendt i chartrets artikel 52, stk. 1, skal fortolkes i lyset af den retspraksis fra Den Europæiske Menneskerettighedsdomstol, som er sammenfattet i punkt 139 i nærværende forslag til afgørelse, således at en generel pligt til datalagring som den i hovedsagerne omhandlede skal være fastlagt i henhold til et retsgrundlag, som dels er tilstrækkeligt tilgængeligt og forudsigeligt, dels giver en tilstrækkelig beskyttelse mod vilkårlighed, således som den estiske regering og Kommissionen har gjort gældende.

144. For det andet skal det fastlægges, hvilke krav der følger af artikel 15, stk. 1, i direktiv 2002/58 for så vidt angår det retsgrundlag, som en medlemsstat skal anvende, hvis den ønsker at gøre brug af den mulighed, der er fastsat i nævnte bestemmelse.

145. I denne henseende vil jeg påpege, at der foreligger en afvigelse mellem sprogversionerne for så vidt angår bestemmelsens første punktum.

146. I den engelske (»legislative measures«), den franske (»mesures législatives«), den italienske (»disposizioni legislative«), den portugisiske (»medidas legislativas«), den rumænske (»măsuri legislative«) og den svenske sprogversion (»genom lagstiftning vidta åtgärder«) kræver artikel 15, stk. 1, første punktum, i direktiv 2002/58 efter min opfattelse, at den lovgivende magt vedtager foranstaltninger.

147. I den danske (»retsforskrifter«), den tyske (»Rechtsvorschriften«), den nederlandske (»wettelijke maatregele«) og den spanske sprogversion (»medidas legales«) kan dette punktum derimod fortolkes således, at det enten kræves, at den lovgivende magt vedtager lovgivningsmæssige foranstaltninger, eller at den udøvende magt vedtager administrative foranstaltninger.

148. Ifølge fast retspraksis udelukker nødvendigheden af en ensartet anvendelse og dermed fortolkning af en EU-retsakt, at denne betragtes isoleret i en af sine versioner, idet det tværtimod er påkrævet, at den fortolkes i overensstemmelse med såvel ophavsmandens virkelige vilje som det af denne forfulgte mål, navnlig i lyset af dens affattelse på alle de øvrige officielle sprog. I tilfælde af forskelle mellem disse skal den pågældende bestemmelse fortolkes på baggrund af den almindelige opbygning af og formålet med de retsforskrifter, som den indgår i (42).

149. I det foreliggende tilfælde regulerer artikel 15, stk. 1, i direktiv 2002/58 medlemsstaternes mulighed for at fravige de grundlæggende rettigheder, der er fastsat i chartrets artikel 7 og 8, hvis beskyttelse gennemføres ved direktivet. Jeg finder det derfor hensigtsmæssigt at fortolke det krav om retsgrundlag, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, i lyset af chartret, navnlig dets artikel 52, stk. 1.

150. De »forskrifter«, der kræves i henhold til artikel 15, stk. 1, i direktiv 2002/58, skal derfor nødvendigvis være kendetegnet ved tilgængelighed, forudsigelighed og en tilstrækkelig beskyttelse mod vilkårlighed som nævnt i punkt 143 i nærværende forslag til afgørelse. Det følger bl.a. af disse kendetegn, herunder navnlig kravet om tilstrækkelig beskyttelse mod vilkårlighed, at disse forskrifter skal være bindende for de nationale myndigheder, som får tildelt adgangsbeføjelser til lagrede data. Det er navnlig ikke tilstrækkeligt, at de garantier, der gælder for adgangen til disse data, er fastsat i kodekser eller interne retningslinjer, som ikke har en sådan bindende karakter, således som Law Society of England and Wales med rette har fremhævet.

151. Udtrykket »medlemsstaterne kan vedtage [forskrifter]«, som er fælles for alle sprogversionerne af artikel 15, stk. 1, første punktum, i direktiv 2002/58, forekommer mig desuden at udelukke muligheden for, at national retspraksis, selv hvis den er fast, kan udgøre et tilstrækkeligt retsgrundlag for at gennemføre denne bestemmelse. Det skal fremhæves, at nævnte bestemmelse for så vidt går videre end de krav, der følger af Den Europæiske Menneskerettighedsdomstols retspraksis (43).

152. Henset til alvorligheden af de indgreb, som en generel pligt til datalagring gør i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, vil jeg tilføje, at det efter min opfattelse er ønskeligt, at det væsentligste indhold af den omhandlede ordning, og navnlig indholdet af de garantier, der gælder i forbindelse med nævnte pligt, fastlægges i en forskrift, som vedtages af den lovgivende magt, hvorved den udøvende magt kan præcisere den nærmere fremgangsmåde for anvendelsen heraf.

153. På grundlag af det ovenstående finder jeg, at artikel 15, stk. 1, i direktiv 2002/58 og chartrets artikel 52, stk. 1, skal fortolkes således, at en ordning, som indfører en generel pligt til datalagring som den i hovedsagerne omhandlede, skal fastsættes ved retsforskrifter eller administrative foranstaltninger, som er kendetegnet ved tilgængelighed, forudsigelighed og en tilstrækkelig beskyttelse mod vilkårlighed.

154. Det tilkommer de forelæggende retter at efterprøve, om dette krav er opfyldt, da de er bedst egnede til at undersøge deres respektive nationale ordninger.

2.      Om respekten af det væsentligste indhold af de rettigheder, der er anerkendt ved chartrets artikel 7 og 8

155. Det følger af chartrets artikel 52, stk. 1, at enhver begrænsning i udøvelsen af de rettigheder, der anerkendes herved, »skal respektere disse rettigheders [...] væsentligste indhold« (44). Dette aspekt, som Domstolen behandlede i Digital Rights-dommens præmis 39 og 40 i sammenhæng med direktiv 2006/24, synes ikke at volde særlige problemer inden for rammerne af nærværende sager, således som den spanske regering, Irland og Kommissionen har anført.

156. I Digital Rights-dommens præmis 39 udtalte Domstolen, at nævnte direktiv ikke indebar en krænkelse af det væsentligste indhold af retten til respekt for privatlivet og de øvrige rettigheder, som er fastslået i chartrets artikel 7, eftersom direktivet ikke gav adgang til at gøre sig bekendt med selve indholdet af de elektroniske kommunikationer.

157. Denne vurdering kan efter min opfattelse overføres på de i hovedsagerne omhandlede nationale ordninger, eftersom disse heller ikke giver adgang til at gøre sig bekendt med selve indholdet af den elektroniske kommunikation (45).

158. I Digital Rights-dommens præmis 40 fastslog Domstolen, at direktiv 2006/24 ikke indebar en krænkelse af det væsentligste indhold af den grundlæggende ret til beskyttelse af personoplysninger, som er fastslået i chartrets artikel 8, henset til de principper om databeskyttelse og datasikkerhed, som udbyderne skulle respektere i medfør af direktivets artikel 7, og i overensstemmelse med hvilke medlemsstaterne skulle sikre iværksættelsen af de fornødne tekniske og organisatoriske foranstaltninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab eller forringelse af data.

159. Det er igen min opfattelse, at denne vurdering kan overføres på de i hovedsagerne omhandlede nationale ordninger, eftersom disse ordninger forekommer mig at fastsætte tilsvarende garantier for så vidt angår beskyttelsen og sikkerheden af de data, som udbyderne lagrer, idet disse garantier skal gøre det muligt effektivt at beskytte personoplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger (46).

160. Det tilkommer imidlertid de forelæggende retter i lyset af ovenstående betragtninger at efterprøve, om de i hovedsagerne omhandlede nationale ordninger faktisk respekterer det væsentligste indhold af de rettigheder, der er sikret ved chartrets artikel 7 og 8.

3.      Om der foreligger et mål af almen interesse, der er anerkendt i Unionen, og som kan begrunde en generel pligt til datalagring

161. Det kræves i medfør af såvel artikel 15, stk. 1, i direktiv 2002/58 som chartrets artikel 52, stk. 1, at ethvert indgreb i de rettigheder, som er sikret ved disse instrumenter, skal forfølge et mål af almen interesse.

162. I Digital Rights-dommens præmis 41-44 udtalte Domstolen dels, at den generelle pligt til datalagring, som var fastsat i direktiv 2006/24, bidrog til »bekæmpelsen af grov kriminalitet og dermed i sidste ende til den offentlige sikkerhed«, dels, at bekæmpelsen heraf udgør et mål af almen interesse for Unionen.

163. Det fremgår således af Domstolens praksis, at bekæmpelsen af international terrorisme med henblik på opretholdelse af international fred og sikkerhed udgør et mål af almen interesse for Unionen. Det samme gælder for bekæmpelsen af grov kriminalitet med henblik på at sikre den offentlige sikkerhed. I øvrigt bemærkes i denne henseende, at chartrets artikel 6 fastslår, at enhver har ret til ikke alene frihed, men også sikkerhed (47).

164. Denne vurdering kan overføres på den i hovedsagerne omhandlede generelle pligt til datalagring, som kan begrundes i målet om bekæmpelsen af grov kriminalitet.

165. Henset til visse argumenter, der er fremsat for Domstolen, skal det ikke desto mindre fastlægges, om en sådan pligt kan begrundes i et andet mål af almen interesse end målet om at bekæmpe grov kriminalitet.

166. I denne henseende nævner ordlyden af chartrets artikel 52, stk. 1, på generel vis »mål af almen interesse, der er anerkendt af Unionen«, og »et behov for beskyttelse af andres rettigheder og friheder«.

167. Ordlyden af artikel 15, stk. 1, i direktiv 2002/58 er mere præcis for så vidt angår de mål, som kan begrunde et indgreb i rettigheder, der er fastsat i direktivet. Ifølge denne bestemmelse skal de pågældende foranstaltninger således være »af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF«.

168. I Promusicae-dommen (48) fastslog Domstolen desuden, at bestemmelsen skal fortolkes i lyset af artikel 13, stk. 1, i direktiv 95/46, som tillader undtagelser fra de rettigheder, der er fastsat i nævnte direktiv, såfremt de er begrundet i »beskyttelsen af andres rettigheder og frihedsrettigheder«. Domstolen fastslog følgelig, at artikel 15, stk. 1, i direktiv 2002/58 giver medlemsstaterne mulighed for at fastsætte en pligt for en udbyder til under en civil retssag at videregive personoplysninger med henblik på fastlæggelsen af, om der foreligger en krænkelse af ophavsrettigheder til musikoptagelser og audiovisuelle optagelser.

169. Det Forenede Kongeriges regering har på baggrund af nævnte dom gjort gældende, at en generel pligt til datalagring kan begrundes i ethvert mål, der er nævnt i enten artikel 15, stk. 1, i direktiv 2002/58 eller artikel 13, stk. 1, i direktiv 95/46. Ifølge denne regering kan en sådan pligt begrundes i den omstændighed, at de lagrede data er nyttige i forbindelse med bekæmpelsen af »simpel« kriminalitet (i modsætning til »grov« kriminalitet) eller endog inden for ikke-strafferetlige procedurer i forbindelse med de mål, der er nævnt i disse bestemmelser.

170. Af de følgende grunde overbeviser denne argumentation mig ikke.

171. Som Tom Watson, Open Rights Group og Privacy International med rette har fremhævet, kan den tilgang, som Domstolen anvendte i Promusicae-dommen (49), for det første ikke overføres på nærværende sager, eftersom den vedrørte en anmodning indgivet af en sammenslutning af indehavere af ophavsrettigheder om adgang til data, som en udbyder, nemlig Telefónica de España, af egen drift havde lagret. Med andre ord vedrørte denne dom ikke de mål, der kan begrunde sådanne alvorlige indgreb i grundlæggende rettigheder, som en generel pligt til datalagring som de i hovedsagerne omhandlede indebærer.

172. Det er for det andet min vurdering, at kravet om forholdsmæssighed i et demokratisk samfund udelukker, at bekæmpelsen af simpel kriminalitet eller hensynet til sagsforløbet i sager, der ikke er straffesager, kan begrunde en generel pligt til datalagring. De betydelige risici, som en sådan pligt medfører, står ikke i et rimeligt forhold til de fordele, som en sådan pligt bibringer for bekæmpelsen af simpel kriminalitet eller inden for rammerne af sager, der ikke er straffesager (50).

173. Henset til det ovenstående finder jeg, at artikel 15, stk. 1, i direktiv 2002/58 og chartrets artikel 52, stk. 1, skal fortolkes således, at bekæmpelsen af grov kriminalitet udgør et mål af almen interesse, der kan begrunde en generel pligt til datalagring, til forskel fra bekæmpelsen af simpel kriminalitet eller hensynet til sagsforløbet i sager, der ikke er straffesager.

174. Det skal derfor undersøges, om en sådan pligt, henset til målet om bekæmpelse af grov kriminalitet, er passende, nødvendig og forholdsmæssig.

4.      Om en generel pligt til datalagring er passende, henset til bekæmpelsen af grov kriminalitet

175. Kravene om en passende, nødvendig (51) og forholdsmæssig (52) karakter følger af såvel artikel 15, stk. 1, i direktiv 2002/58 som chartrets artikel 52, stk. 1.

176. I medfør af det første af disse krav skal en generel pligt til datalagring som den i hovedsagerne omhandlede være egnet til at bidrage til det mål af almen interesse, der er identificeret ovenfor, dvs. bekæmpelsen af grov kriminalitet.

177. Dette krav giver ikke anledning til særlige vanskeligheder i forbindelse med nærværende sager. Som Domstolen i det væsentlige fastslog i Digital Rights-dommens præmis 49, giver lagrede data de kompetente nationale myndigheder på det strafferetlige område et yderligere efterforskningsmiddel med henblik på at forebygge eller opklare grov kriminalitet. En sådan pligt bidrager følgelig til bekæmpelsen af grov kriminalitet.

178. Jeg ønsker imidlertid at præcisere, hvilken nytte en generel pligt til datalagring kan gøre i forbindelse med bekæmpelsen af grov kriminalitet. Som den franske regering med rette har gjort gældende, gør en sådan pligt det i et vist omfang muligt for de retshåndhævende myndigheder at »læse fortiden« ved at få adgang til de lagrede data, hvilket ikke er tilfældet for målrettede overvågningsforanstaltninger.

179. En målrettet overvågningsforanstaltning vedrører de personer, som på forhånd er identificeret som havende en – selv indirekte eller fjern – forbindelse til grov kriminalitet. Sådanne målrettede foranstaltninger gør det muligt for de kompetente myndigheder at få adgang til data om disse personers kommunikation eller til kommunikationens indhold. Denne adgang kan imidlertid kun omfatte den kommunikation, som disse personer foretager, efter de er blevet identificeret.

180. En generel pligt til datalagring omfatter derimod al kommunikation foretaget af alle brugere, uden at der herved er fastsat et krav om, at der består en forbindelse til grov kriminalitet. En sådan pligt gør det muligt for de kompetente myndigheder at få adgang til kommunikationshistorikken for en person, inden den pågældende er blevet identificeret som havende en sådan forbindelse. På denne måde giver en sådan pligt de retshåndhævende myndigheder en begrænset mulighed for at læse fortiden, idet den giver dem adgang til kommunikation foretaget af sådanne personer inden deres identifikation (53).

181. Med andre ord består nytten af en generel pligt til datalagring i forbindelse med bekæmpelsen af grov kriminalitet i denne begrænsede mulighed for at læse fortiden ved hjælp af data, som gengiver kommunikationshistorikken for en person, selv inden denne person var mistænkt for at have forbindelse til grov kriminalitet (54).

182. Ved fremlæggelsen af det direktivforslag, som førte til vedtagelsen af direktiv 2006/24, illustrerede Kommissionen denne nytte ved hjælp af flere konkrete eksempler fra efterforskninger om bl.a. terrorangreb, drab, bortførelse og børnepornografi (55).

183. Flere lignende eksempler er blevet fremlagt for Domstolen inden for rammerne af nærværende sager, bl.a. af den franske regering, som har fremhævet den positive pligt, der påhviler medlemsstaterne med hensyn til at garantere sikkerheden for de personer, der befinder sig på dens område. Ifølge denne regering har adgang til lagrede data i forbindelse med efterforskninger til opløsning af de netværk, som har organiseret franske statsborgeres afrejse til konfliktområder i Irak eller Syrien, spillet en afgørende rolle ved identificeringen af de personer, som var ansvarlige for denne afrejse. Nævnte regering har hertil tilføjet, at adgangen til kommunikationsdata for personer, der var indblandet i de nylige terrorangreb i januar og november 2015 i Frankrig, har været overordentligt nyttige for efterforskerne med henblik på at afdække de medskyldige i disse angreb. I forbindelse med eftersøgningen af forsvundne personer kan data om den forsvundne persons lokalitet under kommunikation foretaget inden den pågældendes forsvinden spille en afgørende rolle for efterforskningen.

184. Henset til de ovenstående betragtninger finder jeg, at en generel pligt til datalagring er egnet til at bidrage til bekæmpelsen af grov kriminalitet. Det skal imidlertid stadig undersøges, om en sådan pligt er både nødvendig og forholdsmæssig i forhold til dette mål.

5.      Om en generel pligt til datalagring er nødvendig henset til bekæmpelsen af grov kriminalitet

185. Ifølge fast retspraksis kan en foranstaltning kun anses for nødvendig, såfremt der ikke findes andre foranstaltninger, der er lige så passende, men mindre indgribende (56).

186. I forbindelse med kravet om en passende karakter skal der foretages en undersøgelse af den »absolutte« effektivitet – uafhængigt af, hvilke andre foranstaltninger der er mulige – af en generel pligt til datalagring i forhold til bekæmpelsen af grov kriminalitet. Kravet om nødvendighed medfører for sit vedkommende, at virkningsgraden – eller den »relative« effektivitet, dvs. sammenlignet med enhver anden mulig foranstaltning – af en sådan pligt skal undersøges (57).

187. Inden for rammerne af nærværende sager kræver prøvelsen af nødvendigheden, at det efterprøves dels, om andre foranstaltninger ville kunne være lige så effektive som en generel pligt til datalagring ved bekæmpelsen af grov kriminalitet, dels, om disse eventuelle andre foranstaltninger er mindre indgribende i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8 (58).

188. Jeg henviser i øvrigt til fast retspraksis, som er nævnt i Digital Rights-dommens præmis 52, hvorefter hensynet til beskyttelsen af den grundlæggende ret til privatliv kræver, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det »strengt nødvendige« (59).

189. To problemstillinger, der berører kravet om streng nødvendighed inden for rammerne af nærværende sager, er blevet drøftet indgående af de parter, som har indgivet indlæg for Domstolen, og disse svarer i det væsentlige til de to spørgsmål, som den forelæggende ret har stillet i sag C-203/15:

–        for det første spørgsmålet om, hvorvidt en generel pligt til datalagring i lyset af Digital Rights-dommens præmis 56-59 skal anses for i sig selv at overskride grænserne for, hvad der er strengt nødvendigt for bekæmpelsen af grov kriminalitet, uafhængigt af, hvilke garantier der ledsager denne pligt

–        for det andet spørgsmålet om, hvorvidt en sådan pligt, såfremt det antages, at den ikke i sig selv skal anses for at overskride grænserne for det strengt nødvendige, skal ledsages af samtlige de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, med henblik på at begrænse indgrebet i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8, til det strengt nødvendige.

190. Inden jeg undersøger disse spørgsmål, finder jeg det hensigtsmæssigt at forkaste et argument fremsat af Det Forenede Kongeriges regering, hvorefter de kriterier, der blev opstillet i Digital Rights-dommen, er uden relevans for nærværende sager, eftersom den dom ikke vedrørte en national ordning, men en ordning indført af EU-lovgiver.

191. I denne henseende fremhæves det, at chartrets artikel 7, artikel 8 og artikel 52, stk. 1, blev fortolket i Digital Rights-dommen, og at disse bestemmelser ligeledes er genstand for de spørgsmål, der er forelagt i tvisterne i hovedsagerne. Det er således efter min opfattelse ikke muligt at anlægge en anderledes fortolkning af chartrets bestemmelser, alt efter om den omhandlede ordning er fastsat på EU-plan eller på nationalt plan, således som Peter Brice, Geoffrey Lewis og Law Society of England and Wales med rette har fremhævet. Når det er fastslået, at chartret finder anvendelse, således som det er tilfældet i nærværende sager (60), skal chartret finde anvendelse på samme måde, uanset hvilken ordning der er tale om. De kriterier, som Domstolen fastsatte i Digital Rights-dommen, er derfor relevante med hensyn til vurderingen af de nationale ordninger, der er omhandlet i nærværende sager, således som bl.a. den danske regering, Irland og Kommissionen har gjort gældende.

a)      Om en generel pligt til datalagring er strengt nødvendig

192. Ifølge en første tilgang, som Tele2 Sverige, Open Rights Group og Privacy International har forsvaret, skal en generel pligt til datalagring efter Digital Rights-dommen anses for i sig selv at overskride grænserne for, hvad der er strengt nødvendigt for bekæmpelsen af grov kriminalitet, uafhængigt af, hvilke garantier der ledsager denne pligt.

193. Ifølge en anden tilgang, som størstedelen af de øvrige procesdeltagere, der har indgivet indlæg for Domstolen, har gjort gældende, overskrider en sådan pligt ikke grænserne for, hvad der er strengt nødvendigt, såfremt pligten ledsages af visse garantier vedrørende dataadgang, lagringens varighed, databeskyttelse og datasikkerhed.

194. Jeg kan tiltræde denne anden tilgang af de følgende grunde.

195. For det første udtalte Domstolen ifølge min fortolkning af Digital Rights-dommen, at en generel pligt til datalagring overskrider grænserne for, hvad der er strengt nødvendigt, såfremt den ikke er ledsaget af strenge garantier vedrørende dataadgang, lagringens varighed, databeskyttelse og datasikkerhed. Domstolen udtalte sig derimod ikke om foreneligheden med EU-retten af en generel pligt til datalagring, som er ledsaget af sådanne garantier, eftersom en sådan ordning ikke var genstand for de spørgsmål, som Domstolen var forelagt i nævnte sag.

196. I denne henseende skal det fremhæves, at Digital Rights-dommens præmis 56-59 ikke indeholder noget udsagn fra Domstolen om, at en generel pligt til datalagring i sig selv overskrider grænserne for, hvad der er strengt nødvendigt.

197. I nævnte doms præmis 56 og 57 fastslog Domstolen, at den lagringspligt, der var fastsat i direktiv 2006/24, omfattede samtlige elektroniske kommunikationsmidler, samtlige brugere og samtlige trafikdata uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til målet om at bekæmpe grov kriminalitet.

198. I samme doms præmis 58 og 59 redegjorde Domstolen mere detaljeret for de praktiske konsekvenser af denne manglende differentiering. Dels vedrørte lagringspligten selv personer, for hvis vedkommende der ikke fandtes noget som helst indicium for, at deres adfærd kunne have – selv en indirekte eller fjern – forbindelse til grov kriminalitet. Dels krævede direktivet ikke nogen sammenhæng mellem de data, som skulle lagres, og en trussel mod den offentlige sikkerhed, og det var navnlig ikke begrænset til en lagring, som var rettet mod data vedrørende et bestemt tidsrum og/eller et bestemt geografisk område og/eller en given personkreds, der på den ene eller anden måde kunne være indblandet i grov kriminalitet.

199. Domstolen fastslog herved, at en generel pligt til datalagring er karakteriseret ved den manglende differentiering under hensyn til målet om bekæmpelsen af grov kriminalitet. Domstolen udtalte imidlertid ikke, at denne manglende differentiering betyder, at en sådan pligt i sig selv overskrider grænserne for, hvad der er strengt nødvendigt.

200. Det var således først ved afslutningen af undersøgelsen af den ordning, der var fastsat i direktiv 2006/24, og efter at have konstateret, at visse garantier, som jeg vil undersøge nedenfor (61), ikke forelå, at Domstolen i Digital Rights-dommens præmis 69 udtalte:

»Henset til samtlige ovenstående betragtninger skal det fastslås, at EU-lovgiver ved vedtagelsen af direktiv 2006/24 har overskredet de grænser, som overholdelsen af proportionalitetsprincippet kræver, henset til chartrets artikel 7, artikel 8 og artikel 52, stk. 1« (min fremhævelse).

201. Som den tyske og den nederlandske regering har gjort gældende, ville Domstolen ikke have behøvet på så indgående vis i dommens præmis 60-68 at have undersøgt de manglende garantier, såfremt den blotte generelle datalagring havde været nok til at kende direktiv 2006/24 ugyldigt.

202. Den generelle pligt til datalagring, som var fastsat i direktiv 2006/24, overskred derfor ikke i sig selv grænserne for, hvad der var strengt nødvendigt. Direktivet overskred grænserne for, hvad der var strengt nødvendigt, som følge af den kombinerede virkning af den generelle datalagring og de manglende garantier, som har til formål at begrænse indgreb i de rettigheder, der er sikret ved chartrets artikel 7 og 8, til de strengt nødvendige. Som følge af denne kombinerede virkning skulle direktivet kendes for ugyldigt i sin helhed (62).

203. For det andet bekræftes denne fortolkning af præmis 93 i Schrems-dommen (63), som jeg her vil gengive:

»En lovgivning, der på generel vis tillader opbevaring af samtlige personoplysninger fra samtlige de personer, hvis oplysninger er blevet videregivet fra Unionen til USA, uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, og uden at der bliver fastsat noget objektivt kriterium, som gør det muligt at afgrænse de offentlige myndigheders adgang til oplysningerne og deres senere anvendelse heraf med henblik på veldefinerede formål, der er strengt begrænsede, og som kan begrunde det indgreb, som såvel adgangen til disse oplysninger som anvendelsen heraf indebærer, er således ikke begrænset til det strengt nødvendige (jf. i denne retning for så vidt angår [direktiv 2006/24] [Digital Rights-dommens] præmis 57-61)« (min fremhævelse).

204. Det bemærkes endnu en gang, at Domstolen ikke fastslog, at den i nævnte sag omhandlede ordning overskred grænserne for, hvad der er strengt nødvendigt, alene af den grund, at den tillod en generel opbevaring af personoplysninger. I det pågældende tilfælde blev grænserne for, hvad der var strengt nødvendigt, overskredet som følge af den kombinerede virkning af muligheden for en sådan generel opbevaring og manglende garantier vedrørende adgangen med henblik på at begrænse indgrebet til det strengt nødvendige.

205. Jeg udleder af det ovenstående, at en generel pligt til datalagring ikke i alle tilfælde skal anses for i sig selv at overskride grænserne for, hvad der er strengt nødvendigt for bekæmpelsen af grov kriminalitet. En sådan pligt overskrider imidlertid altid grænserne for, hvad der er strengt nødvendigt, såfremt den ikke er ledsaget af garantier vedrørende dataadgang, lagringens varighed, databeskyttelse og datasikkerhed.

206. For det tredje underbygges mit synspunkt i denne henseende af nødvendigheden af konkret at efterprøve, om kravet om streng nødvendighed er overholdt inden for rammerne af de i hovedsagerne omhandlede nationale ordninger.

207. Som jeg har anført i punkt 187 i nærværende forslag til afgørelse, skal det i medfør af kravet om streng nødvendighed undersøges, om andre foranstaltninger vil kunne være lige så effektive som en generel pligt til datalagring ved bekæmpelsen af grov kriminalitet, men samtidig mindre indgribende i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8.

208. En sådan vurdering skal imidlertid foretages inden for den særlige sammenhæng, som hver af de nationale ordninger, der fastsætter en generel pligt til datalagring, indgår i. For det første kræver denne vurdering, at effektiviteten af denne pligt sammenlignes med enhver anden mulig foranstaltning i en national sammenhæng under hensyntagen til den omstændighed, at nævnte pligt giver de kompetente myndigheder en begrænset mulighed for at læse fortiden ved hjælp af de lagrede data (64).

209. Henset til kravet om streng nødvendighed er det tvingende nødvendigt, at disse retter undlader at begrænse sig til blot at efterprøve nytten af en generel pligt til datalagring, men foretager en streng prøvelse af, om der med nogen anden foranstaltning, eller en kombination af foranstaltninger, herunder en målrettet pligt til datalagring ledsaget af andre efterforskningsværktøjer, ville kunne opnås samme effektivitet i bekæmpelsen af grov kriminalitet. I denne henseende vil jeg fremhæve, at flere studier, som Domstolens opmærksomhed er blevet henledt på, sætter spørgsmålstegn ved nødvendigheden af denne type pligt i forbindelse med bekæmpelsen af grov kriminalitet (65).

210. Såfremt det for det andet antages, at andre foranstaltninger vil kunne være lige så effektive ved bekæmpelsen af grov kriminalitet, tilkommer det ligeledes de forelæggende retter i henhold til den faste retspraksis, der er nævnt i punkt 185 i nærværende forslag til afgørelse, at fastlægge, om disse foranstaltninger er mindre indgribende i de omhandlede grundlæggende rettigheder end en generel pligt til datalagring.

211. I lyset af Digital Rights-dommens præmis 59 påhviler det navnlig de nationale retter at undersøge, om der er mulighed for at begrænse det materielle omfang af lagringspligten og samtidig bevare foranstaltningens effektivitet i forbindelse med bekæmpelsen af grov kriminalitet (66). En sådan pligt kan således være af større eller mindre materielt omfang alt efter brugerne, geografiske områder og de omfattede kommunikationsmidler (67).

212. Efter min opfattelse ville det, hvis teknologien tillader det, under hensyn til de grundlæggende rettigheder, der er omhandlet i nærværende sager, bl.a. være ønskeligt at undtage særligt følsomme data fra lagringspligten, såsom data, der er omfattet af tavshedspligt, eller data, som gør det muligt at identificere journalisters kilder.

213. Der bør imidlertid ikke ses bort fra, at en væsentlig begrænsning af omfanget af en generel pligt til datalagring risikerer at medføre en betydelig reduktion af den nytte, som en sådan ordning har for bekæmpelsen af grov kriminalitet. For det første har flere regeringer fremhævet vanskeligheden, eller endog umuligheden, af på forhånd at fastlægge, hvilke data der vil vise sig at have forbindelse til grov kriminalitet. En sådan begrænsning vil følgelig kunne udelukke lagring af data, som senere viser sig at være relevante for bekæmpelsen af grov kriminalitet.

214. Som den estiske regering har gjort gældende, er grov kriminalitet for det andet et dynamisk fænomen, som tilpasser sig de efterforskningsværktøjer, som de retshåndhævende myndigheder råder over. En begrænsning til et bestemt geografisk område eller til et bestemt kommunikationsmiddel risikerer således at medføre en flytning af de aktiviteter, der har forbindelse til grov kriminalitet, til et geografisk område eller et kommunikationsmiddel, som ikke er omfattet af ordningen.

215. Eftersom der er behov for en kompleks vurdering af de i hovedsagerne omhandlede nationale ordninger, finder jeg, at denne vurdering skal foretages af de nationale retter, således som den tjekkiske, den estiske, den franske og den nederlandske regering samt Irland og Kommissionen har fremhævet.

b)      Om den ufravigelige karakter af de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, henset til kravet om streng nødvendighed

216. Såfremt det antages, at en generel pligt til datalagring kan anses for strengt nødvendig inden for rammerne af den omhandlede nationale ordning, hvilket det tilkommer den nationale ret at vurdere, skal det også fastlægges, om en sådan pligt skal ledsages af samtlige de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, med henblik på at begrænse indgrebet i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8, til det strengt nødvendige.

217. Disse garantier vedrører de regler, der regulerer de kompetente myndigheders adgang til de lagrede data og anvendelsen heraf (Digital Rights-dommens præmis 60-62), datalagringens varighed (dommens præmis 63 og 64), og sikkerheden og beskyttelsen af de data, som udbyderne lagrer (dommens præmis 66-68).

218. I de indlæg, der er indgivet for Domstolen, står to synspunkter over for hinanden for så vidt angår disse garantiers art.

219. Ifølge det første synspunkt, som er fremført af Tom Watson, Peter Brice, Geoffrey Lewis, Open Rights Group og Privacy International, er de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, ufravigelige. Ifølge dette synspunkt har Domstolen fastsat minimumsgarantier, som alle skal være opfyldt i den omhandlede nationale ordning, med henblik på at begrænse indgrebet i de grundlæggende rettigheder til det strengt nødvendige.

220. Ifølge det andet synspunkt, som er gjort gældende af den tyske, den estiske og den franske regering, Irland samt Det Forenede Kongeriges regering, er de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, alene vejledende. Domstolen har foretaget en »helhedsvurdering« af de manglende garantier i den ordning, der var fastsat i direktiv 2006/24, uden at en af disse garantier herved isoleret betragtet kan anses for at være ufravigelig under hensyn til kravet om streng nødvendighed. For at anskueliggøre dette synspunkt har den tyske regering henvist til illustrationen med »forbundne kar«, ifølge hvilken der kan kompenseres for en mere lempelig tilgang inden for et af de tre aspekter, som Domstolen har identificeret (f.eks. adgangen til de lagrede data), ved en strengere tilgang til de to andre aspekter (lagringens varighed samt datasikkerhed og ‑beskyttelse).

221. Af de følgende grunde er det min opfattelse, at denne tese om »forbundne kar« bør forkastes, og at samtlige de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, skal anses for ufravigelige.

222. For det første underbygger det ordvalg, som Domstolen anvendte ved sin undersøgelse af den strenge nødvendighed af den ordning, der var fastsat i direktiv 2006/24, ikke en sådan fortolkning. Navnlig henviste Domstolen intetsteds i nævnte doms præmis 60-68 til en mulighed for at »kompensere« for en mere lempelig tilgang inden for et af de tre aspekter, som Domstolen havde identificeret, ved en strengere tilgang til de to andre aspekter.

223. Tesen om »forbundne kar« forekommer mig således at bidrage til en forvirring mellem kravet om nødvendighed og kravet om proportionalitet stricto sensu, som ikke blev undersøgt af Domstolen i Digital Rights-dommen. Som jeg har anført i punkt 186 i nærværende forslag til afgørelse, består kravet om nødvendighed nemlig i at afvise enhver ineffektiv foranstaltning. I denne sammenhæng er der ikke tale om en »helhedsvurdering«, »kompensation« eller »afvejning«, da disse undersøgelsestrin først skal foretages i forbindelse med undersøgelsen af proportionaliteten stricto sensu (68).

224. For det andet fratager tesen om »forbundne kar« de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, deres effektive virkning, således at de personer, hvis data er blevet lagret, ikke længere råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug og mod enhver ulovlig adgang til og anvendelse af disse oplysninger, hvilket kræves i medfør af nævnte doms præmis 54.

225. Den ødelæggende virkning af denne tese lader sig nemt illustrere ved hjælp af følgende eksempler. En national ordning, som begrænser adgangen til alene det formål at bekæmpe terrorisme, og som herved har begrænset lagringens varighed til tre måneder (en streng tilgang til adgangen og lagringens varighed), men som ikke forpligter udbyderne til at lagre disse data på det nationale område i krypteret form (en lempelig tilgang til sikkerheden), udsætter hele landets befolkning for en forhøjet risiko for ulovlig adgang til de lagrede data. På samme måde udsætter en national ordning, som fastsætter en lagringsvarighed på tre måneder og en datalagring på det nationale område i krypteret form (en streng tilgang til varighed og sikkerhed), men som tillader alle ansatte i alle offentlige myndigheder at få adgang til de lagrede data (en lempelig tilgang til adgang), hele befolkningen for en forhøjet risiko for de nationale myndigheders misbrug af disse data.

226. Efter min opfattelse følger det af disse eksempler, at det for at bevare den effektive virkning af de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, kræves, at hver af disse garantier betragtes som ufravigelig. Den Europæiske Menneskerettighedsdomstol har ligeledes fremhævet den grundlæggende betydning af disse garantier i den nylige dom i sagen Szabó og Vissy mod Ungarn, idet den herved udtrykkeligt henviste til Digital Rights-dommen (69).

227. For det tredje forekommer det mig ikke at volde betydelige praktiske vanskeligheder for de medlemsstater, som ønsker at fastsætte en generel pligt til datalagring, at iværksætte disse garantier. Disse garantier forekommer mig således ganske rigtigt at være »minimumsgarantier«, således som Tom Watson har gjort gældende.

228. Flere af disse garantier er blevet drøftet for Domstolen, da de muligvis ikke foreligger i de i hovedsagerne omhandlede nationale ordninger.

229. For det første fremgår det af Digital Rights-dommens præmis 61 og 62, at adgangen til og den efterfølgende anvendelse af lagrede data skal være strengt begrænset til forebyggelse og afsløring af præcist afgrænsede strafbare handlinger eller strafferetlig retsforfølgning heraf.

230. Ifølge Tele2 Sverige og Kommissionen er dette krav ikke overholdt i den svenske ordning, der er omhandlet i sag C-203/15, som tillader adgang til de lagrede data med henblik på bekæmpelsen af simple lovovertrædelser. En lignende kritik er fremsat af Peter Brice, Geoffrey Lewis og Tom Watson med hensyn til Det Forenede Kongeriges ordning, der er omhandlet i sag C-698/15, som tillader adgang med henblik på bekæmpelsen af simple lovovertrædelser og endog i fravær af lovovertrædelser.

231. Selv om det ikke tilkommer Domstolen at træffe afgørelse om indholdet af disse nationale ordninger, tilkommer det den at identificere de hensyn af almen interesse, som kan begrunde et alvorligt indgreb i de rettigheder, der er sikret ved direktivet og chartrets artikel 7 og 8. I det foreliggende tilfælde har jeg allerede redegjort for grundene til, at jeg finder, at alene bekæmpelsen af grov kriminalitet kan begrunde et sådant indgreb (70).

232. Ifølge Digital Rights-dommens præmis 62 skal adgangen til lagrede data undergives en forudgående kontrol, der udøves af enten en retsinstans eller en uafhængig administrativ enhed, hvis afgørelse tjener til at begrænse adgangen til og anvendelsen af data til det strengt nødvendige med henblik på at nå det mål, som forfølges. Denne forudgående kontrol skal desuden foretages på grundlag af en begrundet anmodning, som fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning.

233. Ifølge Tele2 Sveriges og Kommissionens indlæg er denne garanti om uafhængig og forudgående kontrol delvist fraværende i den svenske ordning, der er omhandlet i sag C-203/15. Samme konstatering, hvis rigtighed ikke er blevet bestridt af Det Forenede Kongeriges regering, er blevet fremsat af Peter Brice, Geoffrey Lewis, Tom Watson, Open Rights Group og Privacy International med hensyn til Det Forenede Kongeriges ordning, som er omhandlet i sag C-698/15.

234. Der ses efter min opfattelse ikke at foreligge nogen grund til at opbløde dette krav om forudgående kontrol foretaget af en uafhængig enhed, som ubestrideligt følger af Domstolens formuleringer i Digital Rights-dommens præmis 62 (71). Indledningsvis følger dette krav af indgrebets alvorlighed og af de risici, som oprettelsen af databaser, der omfatter nærmest hele den pågældende befolkning, indebærer (72). Det bemærkes, at flere eksperter inden for menneskerettighedsbeskyttelse på området for terrorbekæmpelse har kritiseret den aktuelle tendens til at erstatte traditionelle uafhængige tilladelsesprocedurer og den effektive efterlevelse af systemer med »automatisk tilladelse« til dataadgang for efterretningstjenester og politi (73).

235. Dernæst er en uafhængig forudgående kontrol af dataadgangen nødvendig med henblik på at gøre det muligt at foretage en konkret behandling af særligt følsomme data under hensyn til de i nærværende sager omhandlede grundlæggende rettigheder, såsom data, der er omfattet af tavshedspligt, eller data, som gør det muligt at identificere journalisters kilder, således som Law Society of England and Wales og den tyske og den franske regering har fremhævet. Denne forudgående kontrol af adgangen er så meget desto mere nødvendig for det tilfælde, at det måtte være teknisk vanskeligt at udelukke samtlige disse data fra lagringen (74).

236. Endelig skal det tilføjes, at ingen af de tre parter, som er involveret i en anmodning om adgang, fra et praktisk synspunkt vil være i stand til at udøve en effektiv kontrol med hensyn til adgangen til de lagrede data. De kompetente retshåndhævende myndigheder har enhver interesse i at anmode om den videst mulige adgang til disse data. Udbyderne, som ikke har kendskab til efterforskningsakterne, kan ikke efterprøve, om adgangsanmodningen er begrænset til det strengt nødvendige. Hvad angår de personer, som de konsulterede data vedrører, findes der ingen måde, hvorpå de kan finde ud af, at de er genstand for en sådan efterforskningsforanstaltning, og dette gælder endog i tilfælde af ulovlig anvendelse eller misbrug heraf, således som Tom Watson, Peter Brice og Geoffrey Lewis har fremhævet. Den sammensætning af hensyn, der er på spil, kræver efter min opfattelse, at en uafhængig enhed er mellemled, inden der gives adgang til lagrede data, med henblik på at beskytte de personer, hvis data er lagret, mod ethvert misbrug af adgang fra de kompetente myndigheders side.

237. Det forekommer mig imidlertid rimeligt at antage, at enkeltstående uopsættelige hastesituationer, som Det Forenede Kongeriges regering har henvist til, kan begrunde, at de retshåndhævende myndigheder uden en forudgående kontrol får øjeblikkelig adgang til lagrede data med henblik på at forebygge grov kriminalitet eller retsforfølge gerningsmændene til denne (75). Det er uomgængeligt i videst muligt omfang at opretholde kravet om en forudgående kontrol ved at indføre en hasteprocedure hos den uafhængige enhed med henblik på behandlingen af denne type adgangsanmodninger. Hvis den blotte omstændighed, at denne enhed skal forelægges en anmodning om adgang, synes uforenelig med situationens uopsættelighed, skal adgangen til og anvendelsen af data ikke desto mindre hurtigst muligt undergives en efterfølgende kontrol foretaget af denne enhed.

238. For det tredje fastsætter Digital Rights-dommens præmis 68 en forpligtelse for udbyderne til at lagre data på Unionens område med henblik på at sikre, at de kan kontrolleres af en uafhængig myndighed, således som det kræves i henhold til chartrets artikel 8, stk. 3, under overholdelse af de krav til beskyttelse og sikkerhed, som er fastsat i nævnte doms præmis 66 og 67.

239. Tele2 Sverige og Kommissionen har gjort gældende, at en datalagring på det nationale område ikke er sikret inden for rammerne af den svenske ordning, der er omhandlet i sag C-203/15. Samme kritik er fremsat af Peter Brice, Geoffrey Lewis og Tom Watson med hensyn til Det Forenede Kongeriges ordning, der er omhandlet i sag C-698/15.

240. I denne henseende bemærkes for det første, at der efter min opfattelse ikke er grund til at svække det krav, der er fastsat i Digital Rights-dommens præmis 68, eftersom en lagring af data uden for Unionens område ikke gør det muligt at sikre de personer, hvis data er lagret, det beskyttelsesniveau, som følger af direktiv 2002/58 og chartrets artikel 7, artikel 8 og artikel 52, stk. 1 (76).

241. Det forekommer mig for det andet rimeligt at tilpasse dette krav, som Domstolen fastsatte inden for rammerne af direktiv 2006/24, til den sammenhæng, hvori de nationale ordninger indgår, ved at fastslå, at datalagringen skal ske på det nationale område, således som den tyske og den franske regering samt Kommissionen har gjort gældende. I medfør af chartrets artikel 8, stk. 3, påhviler det nemlig enhver medlemsstat at sikre, at en uafhængig myndighed kontrollerer udbydernes overholdelse af de krav til beskyttelse og sikkerhed, som er fastsat i den nationale ordning. Da der ikke findes en koordinering på EU-plan, vil det imidlertid kunne være umuligt for en sådan national myndighed at opfylde sin kontrolopgave på en anden medlemsstats område.

242. Hvad for det fjerde angår lagringens varighed skal de forelæggende retter anvende de kriterier, som Domstolen har fastlagt i Digital Rights-dommens præmis 63 og 64. Dels skal disse retter fastlægge, om der kan sondres mellem de lagrede data på baggrund af deres nytte, og i givet fald om lagringens varighed er tilpasset på baggrund af dette kriterium. Dels skal retterne efterprøve, om lagringens varighed er baseret på objektive kriterier, som gør det muligt at sikre, at den begrænses til det strengt nødvendige.

243. Det fremhæves, at Den Europæiske Menneskerettighedsdomstol i sin nylige dom i sagen Roman Zakharov mod Rusland udtalte, at en maksimal lagringsperiode på tre måneder var rimelig, idet den samtidig beklagede, at der ikke fandtes en forpligtelse til straks at destruere de data, som ikke havde forbindelse til det formål, hvortil disse data var blevet indsamlet (77). I denne henseende tilføjes, at de i hovedsagerne omhandlede nationale ordninger skal fastsætte en forpligtelse til uigenkaldeligt at destruere alle lagrede data fra det tidspunkt, hvor de ikke længere er strengt nødvendige for bekæmpelsen af grov kriminalitet. Denne forpligtelse skal ikke alene overholdes af de udbydere, som lagrer data, men også af de myndigheder, som har haft adgang til de lagrede data.

244. Henset til de ovenstående betragtninger er det min vurdering, at samtlige de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, er af ufravigelig karakter og derfor skal ledsage en generel pligt til datalagring med henblik på at begrænse indgrebet i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8, til det strengt nødvendige.

245. Det tilkommer de forelæggende retter at efterprøve, om de i hovedsagerne omhandlede nationale ordninger indeholder hver eneste af disse garantier.

6.      Om en generel pligt til datalagring er forholdsmæssig i et demokratisk samfund, henset til målet om bekæmpelse af grov kriminalitet

246. Efter at have vurderet, om de i hovedsagerne omhandlede nationale ordninger er nødvendige, påhviler det yderligere de forelæggende retter at efterprøve, om de er forholdsmæssige i et demokratisk samfund, henset til målet om bekæmpelse af grov kriminalitet. Dette aspekt blev ikke undersøgt af Domstolen i Digital Rights-dommen, eftersom den ordning, der var fastsat i direktiv 2006/24, overskred grænserne for, hvad der er strengt nødvendigt for at bekæmpe grov kriminalitet.

247. Dette krav om proportionalitet i et demokratisk samfund – eller proportionalitet »stricto sensu« – følger både af artikel 15, stk. 1, i direktiv 2002/58, af chartrets artikel 52, stk. 1, og af fast retspraksis. Ifølge denne faste retspraksis kan en foranstaltning, som udgør et indgreb i grundlæggende rettigheder, kun anses for forholdsmæssig, såfremt de ulemper, som den forårsager, står i et rimeligt forhold til de omhandlede mål (78).

248. Til forskel fra kravene om, at den omhandlede foranstaltning skal være passende og nødvendig, hvilket indebærer en undersøgelse af foranstaltningens effektivitet i forhold til det forfulgte mål, består kravet om proportionalitet stricto sensu i en afvejning af dels de fordele, som følger af denne foranstaltning i forhold til forfulgte lovlige mål, dels de ulemper, som følger heraf i forhold til de grundlæggende rettigheder, som er sikret i et demokratisk samfund (79). Dette krav omfatter således en drøftelse af, hvilke værdier der skal veje tungest i et demokratisk samfund, og i sidste ende af, hvilken type samfund vi ønsker at leve i (80).

249. Som jeg har anført i punkt 223 i nærværende forslag til afgørelse, er det følgelig på trinnet for undersøgelsen af proportionaliteten stricto sensu, at der skal foretages en helhedsvurdering af den omhandlede ordning, og ikke på trinnet for undersøgelsen af nødvendigheden, således som fortalerne for tesen om »forbundne kar« har gjort gældende (81).

250. I henhold til den retspraksis, der er nævnt i punkt 247 i nærværende forslag til afgørelse, skal der ske en afvejning af fordelene og ulemperne ved en generel pligt til datalagring i et demokratisk samfund. Disse fordele og ulemper er nært forbundne med de væsentligste karakteristika ved en sådan pligt, som de på sin vis afspejler henholdsvis den lyse og den mørke side af, nemlig den omstændighed, at pligten omfatter al kommunikation, der foretages af samtlige brugere, uden at der herved kræves en forbindelse til grov kriminalitet.

251. Jeg har på den ene side allerede i punkt 178-183 i nærværende forslag til afgørelse redegjort for de fordele, som lagringen af data vedrørende al kommunikation, der foretages på det nationale område, har for bekæmpelsen af grov kriminalitet.

252. På den anden side følger ulemperne af en generel pligt til datalagring af den omstændighed, at langt størstedelen af de lagrede data vedrører personer, som aldrig vil få forbindelse til grov kriminalitet. Det er i denne henseende vigtigt at præcisere arten af de ulemper, som disse personer udsættes for. Disse ulemper er af forskellig art, alt efter på hvilket plan indgrebet i deres grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger sker.

253. Hvad angår et »individuelt« indgreb, som påvirker en bestemt person, er de ulemper, der følger af en generel pligt til datalagring, blevet beskrevet med stor nøjagtighed af generaladvokat Cruz Villalón i punkt 72-74 i forslaget til afgørelse i Digital Rights-sagen (82). Med generaladvokatens ord gør udnyttelsen af disse data det muligt »nøjagtigt og udtømmende at kortlægge en stor del af en persons adfærd, der har en strengt privat karakter, eller et fuldstændig og nøjagtig billede af den pågældendes private identitet«.

254. I en individuel sammenhæng tillader en generel pligt til datalagring med andre ord indgreb, der er lige så alvorlige som målrettede overvågningsforanstaltninger, herunder foranstaltninger, hvorved indholdet af den foretagne kommunikation aflyttes.

255. Selv om alvorligheden af sådanne individuelle indgreb ikke må undervurderes, forekommer det mig imidlertid, at de specifikke risici, som en generel pligt til datalagring indebærer, viser sig derved, at der er tale om »masseindgreb«.

256. Til forskel fra målrettede overvågningsforanstaltninger fremmer en sådan pligt nemlig i betydelig grad masseindgreb, dvs. indgreb, der rammer en væsentlig del eller endog hele den pågældende befolkning, hvilket kan illustreres ved følgende eksempel.

257. Lad os for det første antage, at en person med adgang til de lagrede data har til hensigt at identificere alle de personer i en medlemsstats befolkning, der lider af psykiske vanskeligheder. En analyse af indholdet af al kommunikation foretaget på det nationale område med dette formål ville kræve betydelige ressourcer. Udnyttelsen af databaser vedrørende kommunikation ville derimod gøre det muligt straks at identificere alle de personer, som har kontaktet en psykolog inden for datalagringsperioden (83). Det tilføjes, at denne teknik kan udstrækkes til at omfatte ethvert lægeligt specialområde, der er registreret i en medlemsstat (84).

258. Lad os for det andet antage, at samme person ønsker at identificere alle de personer, der er imod den siddende regerings politik. Igen ville en analyse af indholdet af al kommunikation foretaget på det nationale område med dette formål kræve betydelige ressourcer. Udnyttelsen af databaser vedrørende kommunikation ville derimod gøre det muligt straks at identificere alle de personer, som har tilmeldt sig mailinglister, der er kritiske over for regeringens politik. Disse data ville desuden også gøre det muligt at identificere de personer, som deltager i offentlige demonstrationer mod regeringen (85).

259. Jeg ønsker at fremhæve, at de risici, der er forbundet med adgangen til kommunikationsdata (eller »metadata«), kan være tilsvarende, eller endog større end, de risici, der følger af adgangen til disse kommunikationers indhold, således som Open Rights Group, Privacy International og Law Society of England and Wales samt en nylig rapport fra FN’s Højkommissariat for Menneskerettigheder (86) har fremhævet. Som ovennævnte eksempler viser, gør »metadata« det navnlig muligt nærmest øjeblikkeligt at katalogisere en befolkning i sin helhed, hvilket ikke er muligt på baggrund af kommunikationernes indhold.

260. Det skal hertil tilføjes, at risikoen for ulovlig adgang til lagrede data eller misbrug heraf absolut ikke er af teoretisk art. Dels skal risikoen for, at de kompetente myndigheder misbruger adgangen, sættes i forhold til det enorme antal adgangsanmodninger, som er blevet nævnt i de indlæg, der er indgivet for Domstolen. Hvad angår den svenske ordning har Tele2 Sverige oplyst, at selskabet modtager ca. 10 000 adgangsanmodninger om måneden, og dette antal omfatter ikke de anmodninger, der modtages af andre udbydere på det svenske område. Hvad angår Det Forenede Kongeriges ordning har Tom Watson gengivet tal fra en officiel rapport, som nævner 517 236 tilladelser og 55 346 mundtlige hastetilladelser alene for 2014. Dels udgør risikoen for personers ulovlige adgang en uadskillelig bestanddel af selve eksistensen af en database for lagrede data på databærende medier (87).

261. Efter min opfattelse tilkommer det de forelæggende retter i henhold til den retspraksis, der er nævnt i punkt 247 i nærværende forslag til afgørelse, at vurdere, om de ulemper, der følger af den i hovedsagerne omhandlede generelle pligt til datalagring, står i et rimeligt forhold til de omhandlede mål i et demokratisk samfund. Inden for rammerne af denne vurdering skal de forelæggende retter foretage en afvejning af de risici og fordele, der er forbundet med en sådan pligt, dvs.:

–        på den ene side de fordele, der er forbundet med at give de myndigheder, der har til opgave at bekæmpe grov kriminalitet, en begrænset mulighed for at læse fortiden (88), og

–        på den anden side de alvorlige risici, der i et demokratisk samfund følger af magten til at kunne kortlægge en persons privatliv og magten til at kunne katalogisere en befolkning i dens helhed.

262. Denne vurdering skal foretages under hensyntagen til alle relevante karakteristika i de i hovedsagerne omhandlede nationale ordninger. I denne henseende vil jeg fremhæve, at de garantier, som Domstolen har opstillet i Digital Rights-dommens præmis 60-68, alene udgør minimumsgarantier med henblik på at begrænse indgrebet i de rettigheder, der er sikret ved direktiv 2002/58 og chartrets artikel 7 og 8, til det strengt nødvendige. Det er derfor ikke udelukket, at en national ordning, som indeholder samtlige disse garantier, ikke desto mindre må anses for at være uforholdsmæssig i et demokratisk samfund som følge af misforholdet mellem de alvorlige risici, som denne pligt indebærer i et demokratisk samfund, og de fordele, som pligten medfører for bekæmpelsen af grov kriminalitet.

VI – Forslag til afgørelse

263. Henset til det ovenstående foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål, som Kammarrätten i Stockholm (appeldomstolen i forvaltningsretlige sager i Stockholm, Sverige) og Court of Appeal (England & Wales) (Civil Division) (appeldomstol (England og Wales) (afdelingen for civile sager), Det Forenede Kongerige) har forelagt, på følgende måde:

»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, og artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at de ikke er til hinder for, at en medlemsstat pålægger udbydere af elektroniske kommunikationstjenester en pligt til at lagre alle data vedrørende kommunikation foretaget af brugerne af udbydernes tjenester, såfremt følgende betingelser er opfyldt, hvilket det tilkommer de forelæggende retter at efterprøve på baggrund af alle de relevante karakteristika ved de i hovedsagerne omhandlede nationale ordninger:

–        Pligten og de garantier, der ledsager den, skal fastsættes ved retsforskrifter eller administrative foranstaltninger, som er kendetegnet ved tilgængelighed, forudsigelighed og en tilstrækkelig beskyttelse mod vilkårlighed.

–        Pligten og de garantier, der ledsager den, skal respektere det væsentligste indhold af de rettigheder, der er anerkendt ved artikel 7 og 8 i chartret om grundlæggende rettigheder.

–        Pligten skal være strengt nødvendig for bekæmpelsen af grov kriminalitet, hvilket indebærer, at ingen anden foranstaltning eller kombination af foranstaltninger ville kunne være lige så effektiv ved bekæmpelsen af grov kriminalitet, men samtidig mindre indgribende i de rettigheder, der er sikret ved direktiv 2002/58 og artikel 7 og 8 i chartret om grundlæggende rettigheder.

–        Pligten skal ledsages af alle de garantier, som Domstolen har opstillet i præmis 60-68 i dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238), for så vidt angår dataadgang, lagringens varighed, databeskyttelse og datasikkerhed med henblik på at begrænse indgrebet i de rettigheder, der er sikret ved direktiv 2002/58 og artikel 7 og 8 i chartret om grundlæggende rettigheder, til det strengt nødvendige.

–        Pligten skal være forholdsmæssig i et demokratisk samfund i forhold til målet om bekæmpelse af grov kriminalitet, hvilket indebærer, at de alvorlige risici, som denne pligt medfører i et demokratisk samfund, skal stå i et rimeligt forhold til de fordele, som pligten medfører for bekæmpelsen af grov kriminalitet.«


1 – Originalsprog: fransk.


2 – J. Madison, »Federalist No. 51«, i A. Hamilton, J. Madison og J. Jay, red. M.A. Genovese, The Federalist Papers, Palsgrave Macmillan, New York, 2009, s. 120. James Madison var en af hovedophavsmændene til den amerikanske forfatning og en af de 39 personer, som undertegnede den (1787). Han blev efterfølgende USA’s fjerde præsident (fra 1809-1817).


3 – Denne begrænsede mulighed for at »læse fortiden« kan bl.a. vise sig at være til stor nytte ved identifikationen af eventuelle medskyldige. Jf. punkt 178-184 i nærværende forslag til afgørelse.


4 – Jf. punkt 252-261 i nærværende forslag til afgørelse.


5 – Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11).


6 – Dom af 8.4.2014 (C-293/12 og C-594/12, EU:C:2014:238).


7 – Europa-Parlamentets og Rådets direktiv af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54).


8 – At de svarer hertil, er forståeligt, når henses til, at disse nationale ordninger havde til formål at gennemføre nævnte direktiv, som nu er ugyldigt.


9 – Jf. beskrivelsen af de i hovedsagerne omhandlede nationale ordninger i punkt 11-13 og 36 i nærværende forslag til afgørelse.


10 – Udtalelse 2/13 af 18.12.2014 (EU:C:2014:2454, præmis 179) og dom af 15.2.2016, N. (C-601/15 PPU, EU:C:2016:84, præmis 45 og den deri nævnte retspraksis).


11 – I overensstemmelse med artikel 6, stk. 1, tredje afsnit, TEU og chartrets artikel 52, stk. 7, skal der tages hensyn til forklaringerne til chartret ved fortolkningen heraf (jf. dom af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 20, og af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 47). Ifølge forklaringerne svarer chartrets artikel 7 til EMRK’s artikel 8, mens chartrets artikel 8 ikke svarer til en af rettighederne i EMRK.


12 – Jf. bl.a. dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 40 og den deri nævnte retspraksis), og af 24.4.2012, Kamberaj (C-571/10, EU:C:2012:233, præmis 42 og den deri nævnte retspraksis).


13 – Jf. bl.a. dom af 16.9.1982, Vlaeminck (132/81, EU:C:1982:294, præmis 13), kendelse af 24.3.2011, Abt m.fl. (C-194/10, EU:C:2011:182, præmis 36 og 37 og den deri nævnte retspraksis), og dom af 24.10.2013, Stoilov i Ko (C-180/12, EU:C:2013:693, præmis 46 og den deri nævnte retspraksis).


14 – Jf. punkt 126-262 i nærværende forslag til afgørelse.


15 – Jf. punkt 123-125 i nærværende forslag til afgørelse.


16 – Europa-Parlamentet og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).


17 – Dom af 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, præmis 43 og 44).


18 – Dom af 10.2.2009 (C-301/06, EU:C:2009:68).


19 – Dom af 10.2.2009, Irland mod Parlamentet og Rådet (C-301/06, EU:C:2009:68, præmis 80).


20 – Eftersom direktiv 2002/58 kan kvalificeres som »lex specialis« i forhold til direktiv 95/46 (jf. i denne henseende artikel 1, stk. 2, i direktiv 2002/58), finder jeg det ikke nødvendigt at efterprøve, om en generel pligt til datalagring er forenelig med den ordning, der er fastsat i direktiv 95/46, som i øvrigt ikke er genstand for de spørgsmål, der er forelagt Domstolen. For fuldstændighedens skyld præciseres det ikke desto mindre, at ordlyden af artikel 13, stk. 1, i direktiv 95/46 giver medlemsstaterne et videre råderum end ordlyden af artikel 15, stk. 1, i direktiv 2002/58, som præciserer rækkevidden heraf inden for rammerne af leveringen af offentligt tilgængelige elektroniske kommunikationstjenester. Da muligheden i henhold til artikel 15, stk. 1, i direktiv 2002/58 tillader medlemsstaterne at vedtage en generel pligt til datalagring, udleder jeg heraf, at også artikel 13, stk. 1, i direktiv 95/46 tillader dette.


21 – Jf. punkt 126-262 i nærværende forslag til afgørelse.


22 – Det følger nemlig af Domstolens faste praksis, at de grundlæggende rettigheder, der er sikret ved Unionens retsorden, kan anvendes i alle situationer, der reguleres af EU-retten, men ikke uden for sådanne situationer. Det er af denne grund, at Domstolen allerede har udtalt, at den ikke kan bedømme en national lovgivning i henhold til chartret, når denne lovgivning ikke er omfattet af EU-retten. Når en sådan lovgivning derimod falder ind under EU-rettens anvendelsesområde, skal Domstolen inden for rammerne af en anmodning om præjudiciel afgørelse give alle de oplysninger med hensyn til fortolkningen, som kræves, for at den nationale ret kan vurdere, om denne lovgivning er i overensstemmelse med de grundlæggende rettigheder, som Domstolen skal beskytte (jf. dom af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 19 og den deri nævnte retspraksis).


23 – Jf. punkt 88 i nærværende forslag til afgørelse.


24 – Jf. punkt 90-97 i nærværende forslag til afgørelse.


25 – Chartrets artikel 51, stk. 1, andet punktum, fastsætter nærmere bestemt, at medlemsstaterne er forpligtede til at respektere de rettigheder, der sikres ved chartret, når de gennemfører EU-retten.


26 – Om rækkevidden af denne undtagelse jf. punkt 90-97 i nærværende forslag til afgørelse.


27 – Jf. punkt 185-262 i nærværende forslag til afgørelse.


28 – Jf. bl.a. FN’s Menneskerettighedsråd, rapport fra den særlige rapportør om fremme og beskyttelse af retten til menings- og ytringsfriheden, 17.4.2013, A/HRC/23/40, punkt 33: »[...] Technological advancements mean that the State’s effectiveness in conducting surveillance is no longer limited by scale or duration. [...] As such, the State now has a greater capability to conduct simultaneous, invasive, targeted and broad-scale surveillance than ever before.« Jf. ligeledes punkt 50: »Generally, legislation has not kept pace with the changes in technology. In most States, legal standards are either non-existent or inadequate to deal with the modern communications surveillance environment. […]«


29 – Jeg vil imidlertid vende tilbage til de specifikke risici, som oprettelsen af databaser af et sådant omfang indebærer i forhold til kravet om forholdsmæssigheden i et demokratisk samfund af en generel pligt til datalagring som den i hovedsagerne omhandlede, jf. punkt 252-261 i nærværende forslag til afgørelse.


30 – Jf. i denne henseende det argument, som Open Rights Group og Privacy International har fremført, og som er sammenfattet i punkt 104 i nærværende forslag til afgørelse.


31 – At der er tale om krav af kumulativ art, bekræftes efter min opfattelse af artikel 15, stk. 1, sidste punktum, i direktiv 2002/58, hvorefter »[a]lle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2«. Det følger af artikel 6, stk. 1, TEU, at »Unionen anerkender de rettigheder, friheder og principper, der findes i [chartret], der har samme juridiske værdi som traktaterne«.


32 – Det må nødvendigvis følge af denne kumulative art, at for så vidt som de krav, der er fastsat i disse to bestemmelser, overlapper hinanden, skal det strengeste finde anvendelse, dvs. det krav, som har den mest omfattende beskyttelse af de omhandlede rettigheder.


33 – Dom af 17.12.2015 (C-419/14, EU:C:2015:832).


34 – Jf. bl.a. dom af 17.10.2013, Schwarz (C-291/12, EU:C:2013:670, præmis 35) (indgreb fastsat i en EU-forordning), af 27.5.2014, Spasic (C-129/14 PPU, EU:C:2014:586, præmis 57) (indgreb fastsat i konventionen om gennemførelse af Schengenaftalen af 14.6.1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 19.6.1990 og trådt i kraft den 26.3.1995), af 6.10.2015, Delvigne (C-650/13, EU:C:2015:648, præmis 47) (indgreb fastsat i den franske valglov og den franske straffelov), af 17.12.2015, Neptune Distribution (C-157/14, EU:C:2015:823, præmis 69) (indgreb fastsat i en EU-forordning og et EU-direktiv).


35 – Dom af 1.7.2010, Knauf Gips mod Kommissionen (C-407/08 P, EU:C:2010:389, præmis 87-92) (indgreb uden retsgrundlag).


36 – C-70/10, EU:C:2011:255 (punkt 94-100).


37 – Jf. bl.a. Den Europæiske Menneskerettighedsdomstols dom af 14.9.2010, Sanoma Uitgevers B.V. mod Nederlandene, CE:ECHR:2010:0914JUD003822403, § 83.


38 – Jf. bl.a. Den Europæiske Menneskerettighedsdomstols dom af 26.3.1987, Leander mod Sverige, CE:ECHR:1987:0326JUD000924881, § 50 og 51, Den Europæiske Menneskerettighedsdomstols dom af 26.10.2000, Hassan og Tchaouch mod Bulgarien, CE:ECHR:2000:1026JUD003098596, § 84, Den Europæiske Menneskerettighedsdomstols dom af 4.12.2008, S. og Marper mod Det Forenede Kongerige, CE:ECHR:2008:1204JUD003056204, § 95, Den Europæiske Menneskerettighedsdomstols dom af 14.9.2010, Sanoma Uitgevers B.V. mod Nederlandene, CE:ECHR:2010:0914JUD003822403, § 81-83, og Den Europæiske Menneskerettighedsdomstols dom af 31.3.2016, Stoyanov m.fl. mod Bulgarien, CE:ECHR:2016:0331JUD005538810, § 124-126.


39 – Mere specifikt kan Domstolen efter min opfattelse ikke anlægge en fortolkning af dette krav, som tillader mere end Den Europæiske Menneskerettighedsdomstols fortolkning, da dette ville tillade et højere antal indgreb, end hvad der er tilladt i henhold til Den Europæiske Menneskerettighedsdomstols fortolkning af dette krav.


40 – Udtrykket »i overensstemmelse med loven« er anvendt i EMRK’s artikel 8, stk. 2 (ret til respekt for privatliv og familieliv), og udtrykket »foreskrevet ved lov« er anvendt i EMRK’s artikel 9, stk. 2 (ret til at tænke frit, til samvittigheds- og religionsfrihed), i EMRK’s artikel 10, stk. 2 (ytringsfrihed) og i EMRK’s artikel 11, stk. 2, (forsamlings- og foreningsfrihed). Inden for rammerne af chartret finder dets artikel 52, stk. 1, anvendelse på enhver begrænsning af udøvelsen af de heri sikrede rettigheder, forudsat at en sådan begrænsning er tilladt.


41 – Jf. i denne retning S. Peers, »Article 52 – Scope of guaranteed rights«, i S. Peers, et al, The EU Charter of Fundamental Rights: a Commentary, Oxford, OUP, 2014, nr. 52.39.


42 – Jf. bl.a. dom af 30.5.2013, Asbeek Brusse og de Man Garabito (C-488/11, EU:C:2013:341, præmis 26), af 24.6.2015, Hotel Sava Rogaška (C-207/14, EU:C:2015:414, præmis 26), og af 26.2.2015, Christie’s France (C-41/14, EU:C:2015:119, præmis 26).


43 – Jf. bl.a. Den Europæiske Menneskerettighedsdomstols dom af 14.9.2010, Sanoma Uitgevers B.V. mod Nederlandene, CE:ECHR:2010:0914JUD003822403, § 83: »[The term »law« which appear in Articles 8 to 11 of the Convention, is understood] in its »substantive« sense, not its »formal« one; it has included both »written law«, encompassing enactments of lower ranking statutes and regulatory measures taken by professional regulatory bodies under independent rule-making powers delegated to them by Parliament, and unwritten law. »Law« must be understood to include both statutory law and judge-made »law«.«


44 – Et sådant krav fremgår hverken af ordlyden af artikel 15, stk. 1, i direktiv 2002/58 eller af direktivets opbygning, jf. begrundelsen i punkt 99-116 i nærværende forslag til afgørelse.


45 – Jf. beskrivelsen af de i hovedsagerne omhandlede nationale ordninger i punkt 13 og 36 i nærværende forslag til afgørelse.


46 – Digital Rights-dommens præmis 54. Jf. beskrivelsen af de i hovedsagerne omhandlede nationale ordninger i punkt 29-33, 45 og 46 i nærværende forslag til afgørelse.


47 – Digital Rights-dommens præmis 42 og den deri nævnte retspraksis.


48 – Dom af 29.1.2008 (C-275/06, EU:C:2008:54, præmis 50-54).


49 – Dom af 29.1.2008 (C-275/06, EU:C:2008:54).


50 – Jf. punkt 252-261 i nærværende forslag til afgørelse.


51 – For så vidt angår nødvendigheden jf. punkt 185-245 i nærværende forslag til afgørelse.


52 – For så vidt angår forholdsmæssigheden stricto sensu jf. punkt 246-262 i nærværende forslag til afgørelse.


53 – Kommissionen har ligeledes fremhævet, at den merværdi, som en generel pligt til datalagring udviser i forhold til en målrettet datalagring, består i denne mulighed for at læse fortiden: jf. Commission Staff Working Document, vedlagt som bilag til det direktivforslag, som førte til vedtagelsen af direktiv 2006/24, SEC(2005) 1131, 21.9.2005, nr. 3.6, »Data Preservation versus Data Retention«: »[W]ith only data preservation as a tool, it is impossible for investigators to go back in time. Data preservation is only useful as of the moment when suspects have been identified – data retention is indispensable in many cases to actually identify those suspects.«


54 – Den franske regering har i denne henseende henvist til rapporten fra Conseil d’État, Le numérique et les droits fondamentaux, 2014, s. 209 og 210. Conseil d’État (Frankrig) fremhæver, at en mekanisme for målrettede overvågningsforanstaltninger »vil være langt mindre effektiv end den systematiske lagring set ud fra hensynet til den nationale sikkerhed og eftersøgningen af lovovertrædere. En sådan mekanisme gør det således ikke muligt retrospektivt at få adgang til udvekslinger, der har fundet sted, inden myndigheden opdagede, at der forelå en trussel eller en lovovertrædelse: Mekanismens operationelle karakter afhænger derfor af myndighedernes mulighed for at foregribe identiteten af de personer, hvis forbindelsesdata vil kunne være nyttige, hvilket er umuligt for kriminalpolitiet. Hvad f.eks. angår en forbrydelse kan de retslige myndigheder ikke få adgang til kommunikation, der ligger forud for denne forbrydelse, selv om disse data er vigtige og endog i nogle tilfælde uundværlige med henblik på at identificere gerningsmanden og dennes medskyldige, således som visse nylige sager om terrorangreb viser. På området for forebyggelse af krænkelser af den nationale sikkerhed hviler de nye tekniske programmer på en mulighed for at opdage svage signaler, som ikke er forenelig med ideen om på forhånd at målrette en indsats mod farlige personer«.


55 – Commission Staff Working Document, vedlagt som bilag til det direktivforslag, som førte til vedtagelsen af direktiv 2006/24, SEC(2005) 1131, 21.9.2005, nr. 1.2, »The importance of traffic data for law enforcement«.


56 – Jf. bl.a. dom af 22.1.2013, Sky Österreich (C-283/11, EU:C:2013:28, præmis 54-57), af 13.11.2014, Reindl (C-443/13, EU:C:2014:2370, præmis 39), og af 16.7.2015, CHEZ Razpredelenie Bulgaria (C-83/14, EU:C:2015:480, præmis 120-122). For så vidt angår litteraturen jf. bl.a. B. Pirker, Proportionality Analysis and Models of Judicial Review, Europa Law Publishing, Groningen, 2013, s. 29: »Under a necessity test, the adjudicator examines whether there exists an alternative measure which achieves the same degree of satisfaction for the first value while entailing a lower degree of non-satisfaction of the second value.«


57 – Jf. J. Rivers, »Proportionality and variable intensity of review«, 65(1) Cambridge Law Journal (2006) 174, s. 198: »The test of necessity thus expresses the idea of efficiency or Pareto-optimality. A distribution is efficient or Pareto-optimal if no other distribution could make at least one person better off without making any one else worse off. Likewise an act is necessary if no alternative act could make the victim better off in terms of rights-enjoyment without reducing the level of realisation of some other constitutional interest.«


58 – Om eksistensen af disse to bestanddele ved prøvelsen af nødvendigheden, jf. A. Barak, Proportionality: Constitutional Rights and their Limitations, Cambridge University Press, Cambridge, 2012, s. 323-331.


59 – Jf. bl.a. dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 77 og 86), og af 7.11.2013, IPI (C-473/12, EU:C:2013:715, præmis 39).


60 – Jf. punkt 117-125 i nærværende forslag til afgørelse.


61 – Jf. punkt 216-245 i nærværende forslag til afgørelse.


62 – Digital Rights-dommens præmis 65: »Det må derfor fastslås, at dette direktiv indebærer et indgreb i disse grundlæggende rettigheder, som er meget vidtrækkende og af særligt alvorlig karakter i EU’s retsorden, uden at dette indgreb er præcist afgrænset af bestemmelser, der gør det muligt at sikre, at det faktisk er begrænset til det strengt nødvendige« (min fremhævelse).


63 – Dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650).


64 – Jf. punkt 178-183 i nærværende forslag til afgørelse.


65 – Jf. Europarådets menneskerettighedskommissær, »Issue paper on the rule of law on the Internet and in the wider digital world«, december 2014, CommDH/IssuePaper(2014)1, s. 115, FN’s Menneskerettighedsråd, rapport fra FN’s Højkommissariat for Menneskerettigheder, The right to privacy in the digital age, 30.6.2014, A/HRC/27/37, punkt 26, og FN’s Generalforsamling, rapport fra den særlige rapportør om fremme og beskyttelse af menneskerettighederne og de grundlæggende frihedsrettigheder i forbindelse med terrorbekæmpelse, 23.9.2014, A/69/397, punkt 18 og 19.


66 – Denne bemærkning vedrører alene en generel pligt til datalagring (som kan omfatte enhver person uafhængigt af, om den pågældende er forbundet med grov kriminalitet) og ikke målrettede overvågningsforanstaltninger (som omfatter personer, der på forhånd er identificeret som havende en forbindelse til grov kriminalitet). Om denne sondring jf. punkt 178-183 i nærværende forslag til afgørelse.


67 – Den tyske regering har i retsmødet bl.a. præciseret, at det tyske parlament har undtaget e-mails fra den lagringspligt, der er fastsat i medfør af tysk lovgivning, men at denne ordning gælder for samtlige brugere på hele det nationale område.


68 – Jf. A. Barak, Proportionality: Constitutional Rights and their Limitations, Cambridge University Press, Cambridge, 2012, s. 344.: »The first three components of proportionality deal mainly with the relation between the limiting law’s purpose and the means to fulfil that purpose. […] Accordingly, those tests are referred to as means-end analysis. They are not based on balancing. The test of proportionality stricto sensu is different. […] It focuses on the relation between the benefit in fulfilling the law’s purpose and the harm caused by limiting the constitutional right. It is based on balancing« (min fremhævelse).


69 – Den Europæiske Menneskerettighedsdomstols dom af 12.1.2016, Szabó og Vissy mod Ungarn, CE:ECHR:2016:0112JUD003713814, § 68: »Indeed, it would defy the purpose of government efforts to keep terrorism at bay, thus restoring citizens’ trust in their abilities to maintain public security, if the terrorist threat were paradoxically substituted for by a perceived threat of unfettered executive power intruding into citizens’ private spheres by virtue of uncontrolled yet far-reaching surveillance techniques and prerogatives. In this context the Court also refers to the observations made by the Court of Justice of the European Union and, especially, the United Nations Special Rapporteur, emphasising the importance of adequate legislation of sufficient safeguards in the face of the authorities’ enhanced technical possibilities to intercept private information.«


70 – Jf. punkt 170-173 i nærværende forslag til afgørelse.


71 – Det præciseres imidlertid, at dette krav om uafhængig forudgående kontrol efter min opfattelse ikke hviler på chartrets artikel 8, stk. 3, eftersom chartret ikke som sådan finder anvendelse på de nationale bestemmelser, der regulerer adgangen til de lagrede data. Jf. punkt 123-125 i nærværende forslag til afgørelse.


72 – Jf. punkt 252-261 i nærværende forslag til afgørelse.


73 – Jf. FN’s Menneskerettighedsråd, rapport fra den særlige rapportør om fremme og beskyttelse af menneskerettighederne og de grundlæggende frihedsrettigheder i forbindelse med terrorbekæmpelse, 28.12.2009, A/HRC/13/37, punkt 62: »[T]here must be no secret surveillance system that is not under the review of an effective oversight body and all interferences must be authorized through an independent body« (jf. også punkt 51). Jf. også FN’s Generalforsamling, rapport fra den særlige rapportør om fremme og beskyttelse af menneskerettighederne og de grundlæggende frihedsrettigheder i forbindelse med terrorbekæmpelse, 23.9.2014, A/HRC/69/397, punkt 61.


74 – Jf. punkt 212 i nærværende forslag til afgørelse. Hvad angår journalisters kilder har Den Europæiske Menneskerettighedsdomstol fremhævet nødvendigheden af en uafhængig enheds forudgående kontrol, for så vidt som en efterfølgende kontrol ikke gør det muligt at genetablere sådanne kilders fortrolighed: jf. Den Europæiske Menneskerettighedsdomstols dom af 22.11.2012, Telegraaf Media Nederland Landelijke Media B.V. m.fl. mod Nederlandene, CE:ECHR:2012:1122JUD003931506, § 101, og Den Europæiske Menneskerettighedsdomstols dom af 12.1.2016, Szabó og Vissy mod Ungarn, CE:ECHR:2016:0112JUD003713814, § 77. I dom Kopp mod Schweiz, som vedrørte overvågning af en advokats telefonlinjer, kritiserede Den Europæiske Menneskerettighedsdomstol den omstændighed, at en ansat i administrationen uden at være underlagt en uafhængig retsinstans’ kontrol havde til opgave at filtrere de oplysninger fra, der var omfattet af tavshedspligten, jf. Den Europæiske Menneskerettighedsdomstols dom af 25.3.1998, Kopp mod Schweiz, CE:ECHR:1998:0325JUD002322494, § 74.


75 – Jf. i denne henseende den mekanisme, der er beskrevet i punkt 22 i nærværende forslag til afgørelse. Det fremhæves, at denne problemstilling ikke blev behandlet af Domstolen i Digital Rights-dommen.


76 – Jf. i denne henseende dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650).


77 – Jf. i denne henseende Den Europæiske Menneskerettighedsdomstols dom af 4.12.2015, Roman Zakharov mod Rusland, CE:ECHR:2015:1204JUD004714306, § 254 og 255. I henhold til russisk ret skal opfangede elementer destrueres efter seks måneders lagring, såfremt den pågældende person ikke er blevet sigtet for en straffelovsovertrædelse. Den Europæiske Menneskerettighedsdomstol fandt den maksimale lagringsperiode på seks måneder, som med hensyn til sådanne data er fastsat i russisk ret, rimelig. Den beklagede imidlertid, at der ikke fandtes en forpligtelse til straks at destruere de data, som ikke havde forbindelse til det formål, hvortil disse data var blevet indsamlet, idet den herved præciserede, at en automatisk lagring i seks måneder af åbenbart irrelevante data ikke kunne begrundes i henhold til EMRK’s artikel 8.


78 – Jf. bl.a. dom af 15.2.2016, N. (C-601/15 PPU, EU:C:2016:84, præmis 54; nødvendigheden undersøges i præmis 56-67, proportionaliteten i præmis 68 og 69), af 16.7.2015, CHEZ Razpredelenie Bulgaria (C-83/14, EU:C:2015:480, præmis 123; nødvendigheden undersøges i præmis 120-122, proportionaliteten i præmis 123-127), og af 22.1.2013, Sky Österreich (C-283/11, EU:C:2013:28, præmis 50; nødvendigheden undersøges i præmis 54-57, proportionaliteten i præmis 58-67).


79 – Jf. J. Rivers, »Proportionality and variable intensity of review«, 65(1) Cambridge Law Journal (2006) 174, s. 198: »It is vital to realise that the test of balance has a totally different function from the test of necessity. The test of necessity rules out inefficient human rights limitations. It filters out cases in which the same level of realisation of a legitimate aim could be achieved at less cost to rights. By contrast, the test of balance is strongly evaluative. It asks whether the combination of certain levels of rights-enjoyment combined with the achievement of other interests is good or acceptable.«


80 – Jf. B. Pirker, Proportionality Analysis and Models of Judicial Review, Europa Law Publishing, Groningen, 2013, s. 30: »In its simple form, one could state that proportionality stricto sensu leads to a weighing between competing values to assess which value should prevail.«


81 – Særegenheden ved kravet om proportionalitet stricto sensu i forhold til kravene om, at en foranstaltning skal være passende og nødvendig, kan illustreres ved følgende eksempel. Lad os forestille os, at en medlemsstat vedtager, at der skal installeres en chip til geografisk lokalisering i enhver person, der er bosiddende på medlemsstatens område, idet denne chip vil gøre det muligt for myndighederne at spore alle de steder, hvor chippens bærer har befundet sig inden for det seneste år. En sådan foranstaltning kan anses for »nødvendig«, såfremt der ikke findes nogen anden foranstaltning, hvorved der kan opnås samme grad af effektivitet ved bekæmpelsen af grov kriminalitet. Efter min opfattelse er en sådan foranstaltning imidlertid uforholdsmæssig i et demokratisk samfund, eftersom de ulemper, som følger af et sådant indgreb i den fysiske integritet, respekten for privatlivet og beskyttelsen af personoplysninger, ikke står i et rimeligt forhold til de fordele, som følger heraf for bekæmpelsen af grov kriminalitet.


82 – C-293/12 og C-594/12, EU:C:2013:845. Jf. også Digital Rights-dommen (præmis 27 og 37).


83 – De lagrede data omfatter nemlig en kommunikations kilde og bestemmelsessted, og disse data er tilstrækkelige med henblik på at blive sammenholdt med en telefonliste over de psykologer, der praktiserer på det nationale område.


84 – Jf. i denne henseende FN’s Menneskerettighedsråd, rapport fra den særlige rapportør om fremme og beskyttelse af menneskerettighederne og de grundlæggende frihedsrettigheder i forbindelse med terrorbekæmpelse, 28.12.2009, A/HRC/13/37, punkt 42: »[I]n Germany, research showed a chilling effect of data retention policies: 52% of persons interviewed said they probably would not use telecommunication for contact with drug counsellors, psychotherapists or marriage counsellors because of data retention laws.«


85 – Eftersom de lagrede data omfatter lokaliteten af en kommunikations kilde og bestemmelsessted, vil enhver person, som under en demonstration sender eller modtager kommunikation, let kunne identificeres ved hjælp af de lagrede data. I denne henseende har Marc Goodman, der arbejder som ekspert for FBI og Interpol på området for risici i forbindelse med nye teknologier, berettet, at den ukrainske regering for ikke særlig længe siden under en demonstration for oppositionen foretog en identifikation af alle mobiltelefoner, der befandt sig i nærheden af sammenstødene mellem ordensmagten og oppositionstilhængerne. Alle disse telefoner modtog dernæst en besked, som forfatteren beskriver som den muligvis mest »orwellske« besked, en regering nogensinde har sendt: »Kære abonnent, De er blevet registreret som deltager i en alvorlig forstyrrelse af den offentlige orden« (M. Goodman, Future Crimes, Anchor Books, New York, 2016, s. 153, frit oversat). Jf. ligeledes FN’s Menneskerettighedsråd, rapport fra den særlige rapportør om fremme og beskyttelse af retten til menings- og ytringsfriheden, 17.4.2013, A/HRC/23/40, punkt 75, og FN’s Menneskerettighedsråd, rapport fra FN’s Højkommissariat for Menneskerettigheder, The right to privacy in the digital age, 30.6.2014, A/HRC/27/37, punkt 3.


86 – Jf. i denne henseende FN’s Menneskerettighedsråd, rapport fra FN’s Højkommissariat for Menneskerettigheder, The right to privacy in the digital age, 30.6.2014, A/HRC/27/37, punkt 19: »In a similar vein, it has been suggested that the interception or collection of data about a communication, as opposed to the content of the communication, does not on its own constitute an interference with privacy. From the perspective of the right to privacy, this distinction is not persuasive. The aggregation of information commonly referred to as »metadata« may give an insight into an individual’s behaviour, social relationships, private preferences and identity that go beyond even that conveyed by accessing the content of a private communication« (min fremhævelse). Jf. også FN’s Generalforsamling, rapport fra den særlige rapportør om fremme og beskyttelse af menneskerettighederne og de grundlæggende frihedsrettigheder i forbindelse med terrorbekæmpelse, 23.9.2014, A/HRC/69/397, punkt 53.


87 – Jf. bl.a. FN’s Menneskerettighedsråd, rapport fra den særlige rapportør om fremme og beskyttelse af retten til menings- og ytringsfriheden, 17.4.2013, A/HRC/23/40, punkt 67: »Databases of communications data become vulnerable to theft, fraud and accidental disclosure.«


88 – Jf. punkt 178-183 i nærværende forslag til afgørelse.