Language of document : ECLI:EU:C:2018:300

CONCLUSIE VAN ADVOCAAT-GENERAAL

H. SAUGMANDSGAARD ØE

van 3 mei 2018 (1)

Zaak C207/16

Ministerio Fiscal

[verzoek van de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Elektronische communicatie – Verwerking van persoonsgegevens – Recht op privéleven en recht op bescherming van persoonsgegevens – Richtlijn 2002/58/EG – Artikel 1 en artikel 15, lid 1 – Handvest van de grondrechten van de Europese Unie – Artikelen 7 en 8 en artikel 52, lid 1 – Gegevens die zijn verzameld bij het aanbieden van elektronische-communicatiediensten – Verzoek om toegang van een politieautoriteit met het oog op een strafrechtelijk onderzoek – Evenredigheidsbeginsel – Begrip ‚ernstige criminaliteit’ die een inmenging in de fundamentele rechten kan rechtvaardigen – Criteria voor ernst – Voorgeschreven straf – Minimumdrempel”






I.      Inleiding

1.        De onderhavige prejudiciële verwijzing betreft in wezen de uitlegging van het begrip „ernstige criminaliteit”(2) in de zin van de rechtspraak van het Hof die voortvloeit uit het arrest Digital Rights Ireland e.a.(3) (hierna: „arrest Digital Rights”) en het arrest Tele2 Sverige en Watson e.a.(4) (hierna: „arrest Tele2”), waarin dit begrip is gebruikt als criterium voor de beoordeling van de rechtmatigheid en de evenredigheid van een inmenging in de rechten die zijn neergelegd in de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), te weten het recht op eerbiediging van het privéleven en het familie- en gezinsleven respectievelijk het recht op bescherming van persoonsgegevens.

2.        Aanleiding voor deze prejudiciële verwijzing is een beroep dat is ingesteld tegen een gerechtelijke beschikking waarbij een verzoek van een politieautoriteit om mededeling, met het oog op identificatie van personen in het kader van een strafrechtelijk onderzoek, van bepaalde persoonsgegevens die worden bewaard door mobiele-telefonieaanbieders. De motivering van de bestreden beschikking berustte met name op de overweging dat de feiten die het voorwerp waren van dit onderzoek geen ernstige delicten waren, in weerwil van hetgeen krachtens de toepasselijke Spaanse wet was vereist.

3.        De verwijzende rechter vraagt het Hof in wezen op welke wijze de drempel moet worden vastgesteld waarboven de ernst van een delict, gelet op de aangehaalde rechtspraak, schending van de in de artikelen 7 en 8 van het Handvest neergelegde fundamentele rechten rechtvaardigt ingeval de bevoegde nationale autoriteiten toegang wensen tot persoonsgegevens die worden bewaard door aanbieders van elektronische-communicatiediensten.

4.        Na te hebben vastgesteld dat het Hof bevoegd is om uitspraak te doen op dit verzoek om een prejudiciële beslissing en dat dit verzoek ontvankelijk is, zal ik aantonen dat de toegang tot persoonsgegevens in omstandigheden als in casu leidt tot een inmenging in de hierboven genoemde fundamentele rechten die niet overeenkomt met de gevallen waarin uitsluitend de bestrijding van ernstige criminaliteit schending van deze rechten kan rechtvaardigen, overeenkomstig de aangehaalde rechtspraak.

5.        Aangezien het, gelet op het bijzondere voorwerp van het hoofdgeding, mijns inziens niet noodzakelijk is dat het Hof antwoordt op de prejudiciële vragen in hun oorspronkelijke formulering, zal ik louter subsidiair aanwijzingen geven met betrekking tot de criteria voor een mogelijke definitie van het begrip „ernstige criminaliteit” in de zin van deze rechtspraak, in het bijzonder met betrekking tot het criterium van de voorgeschreven straf.

II.    Toepasselijke bepalingen

A.      Unierecht

6.        In de overwegingen van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)(5), zoals gewijzigd bij richtlijn 2009/136/EG(6) (hierna: „richtlijn 2002/58”), is het volgende bepaald:

„(2)      Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het [Handvest]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 bedoelde rechten van het Handvest […].

[…]

(11)      Deze richtlijn is evenmin [als] richtlijn 95/46/EG[(7)] van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden [hierna: ‚EVRM’], zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens [hierna: ‚EHRM’], in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het [EVRM] [(8)].”

7.        Artikel 1 van richtlijn 2002/58, met als opschrift „Werkingssfeer en doelstelling”, luidt als volgt:

„1.      Deze richtlijn harmoniseert de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen […].

[…]

3.      Deze richtlijn is niet van toepassing op activiteiten die niet onder het EG-Verdrag vallen, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied”.

8.        In artikel 2 van deze richtlijn, met als opschrift „Definities”, is het volgende bepaald:

„Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (kaderrichtlijn) [(9)] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

a)       ‚gebruiker’: natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

b)      ‚verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c)      ‚locatiegegevens’: gegevens die worden verwerkt in een elektronische-communicatienetwerk waarmee de geografische positie van de eindapparatuur van een gebruiker van een algemeen beschikbaar elektronische-communicatiedienst wordt aangegeven;

d)      ‚communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische-communicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronische-communicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

[…]”

9.        In artikel 15 van richtlijn 2002/58, met als opschrift „Toepassing van een aantal bepalingen van richtlijn 95/46/EG”, is in lid 1 bepaald dat „[d]e lidstaten […] wettelijke maatregelen [kunnen] treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.”

B.      Spaans recht

1.      Wet 25/2007

10.      Bij Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (wet 25/2007 inzake de bewaring van gegevens betreffende elektronische communicatie en openbare communicatienetwerken) van 18 oktober 2007(10) (hierna: „wet 25/2007”) is richtlijn 2006/24, welke door het Hof in het arrest Digital Rights ongeldig is verklaard, omgezet in Spaans recht.(11)

11.      Artikel 1 van wet 25/2007, in de op de feiten van het hoofdgeding toepasselijke versie, luidt als volgt:

„1.      Deze wet strekt tot regulering van de verplichting van de aanbieders tot bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van elektronische-communicatiediensten of van openbare communicatienetwerken, alsook van de verplichting tot verstrekking van die gegevens aan bevoegde ambtenaren, mits ze worden opgevraagd met rechterlijke toestemming met het oog op het opsporen, onderzoeken en vervolgen van ernstige delicten als bedoeld in de Código Penal (Spaans wetboek van strafrecht) of in de bijzondere strafwetten.

2.      Deze wet heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren.

[…]”

12.      Artikel 3 van deze wet bevat een opsomming van de gegevens die door de aanbieders moeten worden bewaard. Krachtens lid 1, onder a), punt 1, ii), van dit artikel betreft het hier met name „de gegevens die nodig zijn om de bron van een communicatie te traceren en te identificeren, zoals, in het geval van mobiele telefonie, de naam en het adres van de abonnee of geregistreerde gebruiker”.

2.      Wetboek van strafrecht

13.      Ingevolge artikel 13, lid 1, van de Código Penal, in de op de feiten van het hoofdgeding toepasselijke versie, zijn „[e]rnstige delicten […] die waarop de wet een zware straf stelt”.

14.      Artikel 33 van dit wetboek luidt als volgt:

„1.      De straffen zijn naar hun aard en duur ingedeeld in zware, minder zware en lichte straffen.

2.      Zware straffen zijn:

a)      De herzienbare levenslange gevangenisstraf.

b)      Gevangenisstraf van meer dan vijf jaar.

[…]”

3.      Wetboek van strafvordering

15.      Het Spaanse wetboek van strafvordering is gewijzigd bij Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (organieke wet 13/2015 tot wijziging van het wetboek van strafvordering ter versterking van de procedurele waarborgen en regulering van technologische onderzoeksmethodes) van 5 oktober 2015(12) (hierna: „organieke wet 13/2015”).

16.      Bij deze wet, die op 6 december 2015 in werking is getreden, zijn aan het wetboek van strafvordering bepalingen toegevoegd inzake de toegang tot gegevens die betrekking hebben op telefonische en elektronische communicatie en die door aanbieders van elektronische-communicatiediensten worden bewaard.

17.      Ingevolge artikel 579, lid 1, van het wetboek van strafvordering in de hierboven bedoelde versie „[kan] de rechter toestemming geven voor de interceptie van privécorrespondentie die per post, telegraaf, fax, Burofax en internationale postwissels door de verdachte is verzonden of ontvangen, alsook voor het openen en onderzoeken hiervan indien er aanwijzingen zijn dat hiermee een voor de zaak relevant feit of relevante factor aan het licht kan worden gebracht of kan worden nagetrokken, indien het onderzoek zich op één van de volgende delicten richt:

1)      Doleuze delicten waarop een maximumgevangenisstraf van ten minste drie jaar is gesteld.

2)      Delicten gepleegd door een criminele groep of organisatie.

3)      Terroristische delicten.”

18.      Artikel 588 ter, onder j), van dit wetboek, met als opschrift „Gegevens in geautomatiseerde bestanden van aanbieders van telecommunicatiediensten”, luidt als volgt:

„1.      Elektronische gegevens die uit hoofde van de wetgeving betreffende de bewaring van gegevens inzake elektronische communicatie dan wel eigener beweging om commerciële of andere redenen worden bewaard door aanbieders van communicatiediensten of personen die communicatie faciliteren, en verband houden met communicatieprocessen, mogen uitsluitend met rechterlijke toestemming worden verstrekt voor gebruik in de procedure.

2.      Wanneer kennisneming van deze gegevens onontbeerlijk is voor het onderzoek, wordt de bevoegde rechter verzocht om toestemming voor het verzamelen van de informatie die zich bevindt in de geautomatiseerde bestanden van de aanbieders van telecommunicatiediensten, waaronder het zoeken naar kruisverbanden of intelligent opsporen van gegevens, mits de aard van de bekend te maken gegevens en de redenen voor de verstrekking van die gegevens worden gepreciseerd.”

III. Hoofdgeding, prejudiciële vragen en procedure bij het Hof

19.      Hernández Sierra heeft bij de politie aangifte gedaan van diefstal met geweldpleging van zijn portefeuille en mobiele telefoon, waarvan hij op 16 februari 2015 slachtoffer zou zijn geworden en waarbij hij zware verwondingen zou hebben opgelopen.

20.      Bij verzoekschrift van 27 februari 2015 heeft de gerechtelijke politie bij de Juzgado de Instrucción n° 3 de Tarragona (onderzoeksrechter nr. 3 Tarragona, Spanje; hierna: „onderzoeksrechter”) een verzoek ingediend om verschillende telefonieaanbieders te gelasten, ten eerste, de telefoonnummers te verstrekken die tussen 16 februari en 27 februari 2015 met het IMEI-nummer(13) van de gestolen mobiele telefoon zijn geactiveerd en, ten tweede, de persoonsgegevens te verstrekken van de houders of gebruikers van alle telefoonnummers behorend bij de met dat IMEI-nummer geactiveerde SIM-kaarten.(14)

21.      Bij beschikking van 5 mei 2015 heeft de onderzoeksrechter dit verzoek afgewezen omdat de gevraagde maatregel in beperkte mate geschikt was voor het identificeren van de daders van het delict, en wet 25/2007 hoe dan ook de verstrekking van door telefonieaanbieders bewaarde gegevens beperkte tot ernstige delicten – te weten die delicten waarop in de Código Penal(15) een gevangenisstraf van meer dan vijf jaar is gesteld –, terwijl de betrokken feiten niet als ernstig delict konden worden aangemerkt.

22.      Het Ministerio Fiscal (Spaans openbaar ministerie), enige partij in de procedure, heeft tegen deze beschikking hoger beroep ingesteld bij de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje). Volgens het Ministerio Fiscal had, gelet op de aard van de feiten en gezien een beslissing van de Tribunal Supremo (hoogste rechterlijke instantie, Spanje) in een vergelijkbare zaak(16), toestemming moeten worden gegeven voor het verstrekken van de gevraagde gegevens.

23.      Bij beschikking van 9 februari 2016 heeft de Audiencia Provincial de Tarragona bij wijze van voorlopige maatregel de telefonieaanbieders gelast de bewaartermijn van de gegevens waarop het verzoek betrekking had te verlengen.

24.      Uit de verwijzingsbeslissing van deze rechterlijke instantie blijkt dat, na de vaststelling van de bestreden beschikking, de Spaanse wetgever bij organieke wet 13/2015(17) een dubbel criterium heeft ingevoerd om de ernst van een delict te bepalen. Het eerste criterium is een materiële maatstaf die verband houdt met strafbaar gestelde gedragingen die specifiek en ernstig van aard zijn en individuele en collectieve rechtsgoederen in bijzondere mate aantasten.(18) Het tweede is een formeel-normatief criterium dat uitsluitend is gebaseerd op de strafmaat voor het betrokken delict. De drempel van drie jaar gevangenisstraf waarin dit laatste criterium voorziet, zou echter verreweg het merendeel van de strafbaar gestelde gedragingen kunnen bestrijken. Volgens de verwijzende rechter kan bovendien het belang dat de staat heeft bij de bescherming van burgers en de bestraffing van strafbare gedragingen geen onevenredige schending van de fundamentele rechten van personen rechtvaardigen.

25.      In deze context heeft de Audiencia Provincial de Tarragona bij beslissing van 6 april 2016, die op 14 april 2016 bij het Hof is ingekomen, de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Geldt als criterium om te bepalen of een delict voldoende ernstig is om inmenging in de door de artikelen 7 en 8 van het Handvest erkende grondrechten te rechtvaardigen, uitsluitend de straf die kan worden opgelegd ter zake van het onderzochte delict of is het bovendien noodzakelijk dat door de strafbaar gestelde gedraging individuele en/of collectieve rechtsgoederen in bijzondere mate worden aangetast?

2)      Indien het verenigbaar is met de constitutionele beginselen van de Unie die het Hof heeft toegepast in zijn arrest [Digital Rights] als maatstaven voor de strikte toetsing van de richtlijn [die bij dit arrest ongeldig is verklaard], dat de ernst van het delict uitsluitend wordt vastgesteld op basis van de op te leggen straf, wat zou dan het minimumniveau van de straf moeten zijn? Zou een algemeen vereiste van minimaal drie jaar gevangenisstraf voldoen?”

26.      In afwachting van de uitspraak van het Hof in de gevoegde zaken Tele2 Sverige en Watson e.a., C‑203/15 en C‑698/15, is de procedure bij het Hof geschorst bij beslissing van de president van 23 mei 2016.

27.      Nadat het Hof op 21 december 2016 het arrest in deze zaken heeft gewezen(19), heeft de verwijzende rechter in antwoord op vragen van het Hof aangegeven het verzoek om een prejudiciële beslissing te willen handhaven. Deze rechter heeft te kennen gegeven dat de door hem voorgelegde prejudiciële vragen nog steeds relevant waren, voor zover in het genoemde arrest weliswaar voorbeelden werden gegeven van „ernstige criminaliteit”(20), maar de materiële inhoud van dit begrip, dat als beoordelingscriterium voor de rechtvaardiging van inmenging kan worden gehanteerd, hierin onvoldoende duidelijk werd gedefinieerd. Dit begrip brengt namelijk het risico met zich mee dat op nationaal niveau zeer ruime voorwaarden aan de bewaring van en toegang tot gegevens worden gesteld, hetgeen de in het arrest Tele2 bedoelde fundamentele rechten niet zou eerbiedigen. Zo heeft de Spaanse wetgever bij organieke wet 13/2015, in weerwil van de in het arrest Digital Rights genoemde criteria(21), de drempel waarboven een delict voldoende ernstig is om de bewaring en de verstrekking van persoonsgegevens toe te staan, aanzienlijk verlaagd ten opzichte van de vroegere bepalingen van wet 25/2007.

28.      Na dit antwoord is op 16 februari 2017 de procedure bij het Hof hervat. Vervolgens hebben de Spaanse, Tsjechische, Estse, Ierse, Franse, Letse, Hongaarse en Oostenrijkse regering, en de regering van het Verenigd Koninkrijk alsmede de Europese Commissie schriftelijke opmerkingen ingediend.

29.      Met het oog op de mondelinge behandeling van de zaak heeft het Hof schriftelijke vragen gesteld aan de Spaanse regering, die deze vragen op 9 januari 2018 heeft beantwoord. Voorts heeft het Hof mondeling te beantwoorden vragen gesteld aan alle belanghebbenden als bedoeld in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie.

30.      Ter terechtzitting van 29 januari 2018 hebben het Spaanse openbaar ministerie, de Spaanse, Tsjechische, Deense, Estse, Ierse, Franse, Letse en Poolse regering, en de regering van het Verenigd Koninkrijk alsmede de Commissie pleidooi gehouden.

IV.    Analyse

A.      Inleidende opmerkingen

31.      Alvorens dieper in te gaan op de vragen die in het onderhavige verzoek om een prejudiciële beslissing zijn gesteld, acht ik het noodzakelijk enkele opmerkingen te maken over het specifieke voorwerp van dit verzoek.

32.      Ten eerste moet, gelet op de aanwijzingen in de verwijzingsbeslissing en de aanvullende informatie die is verstrekt door de Spaanse regering, worden gewezen op de specifieke kenmerken van het hoofdgeding, die het met name onderscheiden van de omstandigheden van de zaken die hebben geleid tot de arresten Digital Rights en Tele2.(22)

33.      Het betrokken verzoek van de politieautoriteit blijkt immers te strekken tot het verkrijgen van uitsluitend de gegevens voor identificatie van de houders of gebruikers van de telefoonnummers behorend bij de SIM-kaarten die in de gestolen mobiele telefoon zijn gebruikt.(23) Voorts staat vast dat dit verzoek een beperkte, duidelijk afgebakende tijdspanne betreft, te weten een periode van ongeveer twaalf dagen.(24)

34.      In deze omstandigheden is het aantal personen dat door de bestreden maatregel kan worden getroffen niet ongelimiteerd, maar beperkt. Bovendien gaat het hier niet om iedere willekeurige SIM-kaarthouder, maar om personen met een zeer specifiek profiel, namelijk die SIM-kaarthouders die de gestolen telefoon na de diefstal hebben gebruikt of zelfs nog in bezit hebben en dus terecht ervan kunnen worden verdacht dat zij ofwel de daders van het delict zijn ofwel in relatie tot de daders staan.

35.      Daarbij komt nog dat niet alle typen „persoonsgegevens”(25) worden beoogd die in het bezit zijn van de aanbieders van elektronische-communicatiediensten, maar uitsluitend die gegevens die betrekking hebben op de civiele identiteit van de betrokken personen, te weten hun voornaam, achternaam en eventueel hun adres(26), welke gegevens ook de „contactgegevens” kunnen worden genoemd. De overige gegevens van deze personen die zich in de bestanden van de betrokken aanbieders zouden kunnen bevinden(27), zijn mijns inziens van het hoofdgeding uitgesloten.

36.      Overigens ben ik van mening dat het doel hier niet het inwinnen van locatiegegevens of van gegevens betreffende de communicatie als zodanig(28) is, maar de verzameling van gegevens die betrekking hebben op natuurlijke personen die worden gezocht omdat zij mogelijk een elektronische-communicatiedienst hebben gebruikt met behulp van de gestolen telefoon, zelfs als zij geen daadwerkelijke telefonische oproep hebben gedaan. Uit de toelichtingen die het Spaanse openbaar ministerie aan het Hof heeft verstrekt, blijkt immers dat de opgevraagde persoonsgegevens, die kunnen worden achterhaald door een bepaalde SIM-kaart met het IMEI-nummer van het gestolen apparaat te combineren, technisch kunnen worden verkregen dankzij het enkele feit dat het apparaat verbinding heeft gemaakt met een mast voor mobiele telefonie, ook als de houder van de kaart geen oproep heeft gedaan met de betrokken telefoon, dus onafhankelijk van daadwerkelijke communicatie.(29) Het is aan de verwijzende rechter om deze bewering van feitelijke aard te verifiëren, hoewel zij mij voldoende plausibel lijkt om redelijkerwijs als waar te kunnen worden beschouwd.

37.      Gelet op een en ander wil ik van meet af aan benadrukken dat het verzoek dat in het hoofdgeding aan de orde is, niet de algemene en ongedifferentieerde overdracht van persoonsgegevens betreft, maar een gerichte overdracht van persoonsgegevens van bepaalde personen over een afgebakende tijdspanne. Bovendien lijken de opgevraagde gegevens op het eerste gezicht geen bijzonder gevoelige gegevens te zijn, hoewel met de toegang tot gegevens van dit type de in de artikelen 7 en 8 van het Handvest neergelegde fundamentele rechten kunnen worden geschonden.(30)

38.      Ten tweede merk ik op dat uit de motivering van de verwijzingsbeslissing blijkt dat de prejudiciële vragen die in de onderhavige zaak zijn gesteld geen betrekking hebben op de voorwaarden voor de bewaring van persoonsgegevens in de sector elektronische communicatie, maar veeleer op de wijzen van toegang van de nationale autoriteiten tot dergelijke gegevens die worden bewaard door aanbieders van diensten die in deze sector actief zijn.(31)

39.      De verwijzende rechter wijst er met name op dat krachtens artikel 588 ter, onder j), van het wetboek van strafvordering de toestemming van een rechter is vereist voor de overdracht van door de dienstenaanbieder bewaarde elektronische gegevens aan de bevoegde autoriteiten ten behoeve van een procedure. In lid 1 van dit artikel is bepaald dat deze gegevens „ofwel uit hoofde van de toepasselijke wetgeving dan wel eigener beweging om commerciële of andere redenen” door aanbieders kunnen worden bewaard.

40.      In casu blijkt dat de door de politieautoriteiten ten behoeve van het onderzoek opgevraagde persoonsgegevens door de aanbieders van de mobiele-telefoniediensten konden worden bewaard uit hoofde van een verplichting krachtens de Spaanse wet.(32) De verwijzende rechter geeft dienaangaande geen aanwijzingen, maar, zoals ik reeds heb opgemerkt, betreft diens verzoek om een prejudiciële beslissing de eventuele toegang tot reeds bewaarde gegevens en wordt er in het hoofdgeding niet aan getwijfeld dat de bewaring van de gegevens in overeenstemming is met het Unierecht.(33) Er moet mijns inziens dan ook van worden uitgegaan dat de betrokken gegevens in het hoofdgeding overeenkomstig de nationale wettelijke regeling, met inachtneming van de in artikel 15, lid 1, van richtlijn 2002/58 gestelde voorwaarden, zijn bewaard, hetgeen uitsluitend door de verwijzende rechter moet worden geverifieerd.(34)

41.      Verderop in deze conclusie zal ik terugkomen op de rechtsgevolgen van deze inleidende constateringen.(35)

B.      Procedurele excepties opgeworpen door de Spaanse regering

42.      De Spaanse regering heeft twee categorieën procedurele excepties opgeworpen, die respectievelijk de bevoegdheid van het Hof en de ontvankelijkheid van het verzoek om een prejudiciële beslissing betreffen, en waarop het Hof uitspraak moet doen alvorens in voorkomend geval uitspraak ten gronde te kunnen doen.

1.      Bevoegdheid van het Hof gerelateerd aan de werkingssfeer van het Unierecht

43.      Om te beginnen breng ik in herinnering dat de in de rechtsorde van de Unie gewaarborgde grondrechten, en met name de in de artikelen 7 en 8 van het Handvest verankerde fundamentele rechten, volgens vaste rechtspraak uitsluitend toepassing kunnen vinden in alle situaties die door het Unierecht worden beheerst.(36) Bovendien zijn ingevolge artikel 51, lid 1, van het Handvest de bepalingen ervan tot de lidstaten gericht „uitsluitend wanneer deze het Unierecht ten uitvoer brengen”, in de zin van de rechtspraak van het Hof inzake dit begrip.(37) Dientengevolge is het Hof, wanneer een juridische situatie niet binnen de werkingssfeer van het Unierecht valt, niet bevoegd om daarover uitspraak te doen en kunnen de eventueel aangevoerde bepalingen van het Handvest op zich niet de grondslag vormen voor die bevoegdheid.(38)

44.      In casu hebben de vragen van de verwijzende rechter uitsluitend betrekking op de artikelen 7 en 8 van het Handvest en op de „constitutionele beginselen van de Unie die het Hof heeft toegepast in zijn arrest [Digital Rights]”. Desalniettemin vormen volgens deze rechter de toepasselijke richtlijnen inzake de bescherming van persoonsgegevens, zoals richtlijn 95/46 en richtlijn 2002/58, het krachtens artikel 51, lid 1, van het Handvest vereiste aanknopingspunt tussen het hoofdgeding en het Unierecht.

45.      Dienaangaande merk ik in de eerste plaats op dat de Spaanse regering primair aanvoert dat het Hof niet bevoegd is om uitspraak te doen op de onderhavige prejudiciële verwijzing, aangezien deze verwijzing geen betrekking heeft op de toepassing van het Unierecht. De Spaanse regering stelt met name dat het hoofdgeding van de werkingssfeer van het Unierecht is uitgesloten, omdat het betrekking heeft op een aan een gerechtelijke beslissing onderworpen toegang van de politie tot gegevens in het kader van een onderzoek, wat moet worden beschouwd als een activiteit van de staat op strafrechtelijk gebied(39), die als zodanig onder de uitzonderingen valt die zijn bepaald in artikel 1, lid 3, van richtlijn 2002/58 en in artikel 3, lid 2, eerste streepje, van richtlijn 95/46.(40) De regering van het Verenigd Koninkrijk heeft ter terechtzitting te kennen gegeven deze zienswijze van de Spaanse regering te delen.

46.      Mijns inziens is richtlijn 2002/58 echter wel van toepassing op nationale maatregelen als de maatregelen die aan de orde zijn in het hoofdgeding. In het arrest Tele2 heeft het Hof immers reeds geoordeeld dat nationale wettelijke maatregelen, zoals die betreffende de bewaring van gegevens ter bestrijding van criminaliteit, binnen de werkingssfeer van die richtlijn vallen, voor zover ze niet alleen de verplichtingen bepalen die dienaangaande op de aanbieders van elektronische-communicatiediensten rusten, maar ook de toegang van de nationale autoriteiten tot de in dit verband bewaarde gegevens regelen.(41) Net als de Commissie ben ik van mening dat de overwegingen in dat arrest ook gelden voor de nationale regels die in casu van toepassing zijn, te weten de bepalingen van wet 25/2007, gelezen in samenhang met het Spaanse wetboek van strafvordering, zoals gewijzigd bij organieke wet 13/2015(42), en dat deze overwegingen dus ook kunnen worden toegepast ten aanzien van het voorwerp van het hoofdgeding.

47.      Ik voeg hieraan toe dat onderscheid moet worden gemaakt tussen enerzijds de persoonsgegevens die rechtstreeks in het kader van de – klassieke(43) – activiteiten van de staat op strafrechtelijk gebied(44) worden verwerkt en anderzijds die gegevens die in het kader van de – commerciële – activiteiten van een aanbieder van elektronische-communicatiediensten worden verwerkt en vervolgens door de bevoegde overheidsdiensten worden gebruikt.(45) Overigens merk ik op dat een onlangs bij het Hof ingediend verzoek om een prejudiciële beslissing met name de uitlegging betreft van artikel 1, lid 3, van richtlijn 2002/58 in de context van het gebruik, door de veiligheids- en inlichtingendiensten van een lidstaat, van gegevens die op grote schaal aan deze diensten moeten worden overgedragen door aanbieders van elektronische-communicatiediensten(46), welke problematiek mijns inziens in de onderhavige zaak niet aan de orde is.(47)

48.      In de tweede plaats constateer ik dat gelet op het type gegevensdat in hethoofdgedingaan de orde is, nog andere vragen zijn gerezen in verband met de werkingssfeer van richtlijn 2002/58, waarvan in de onderhavige zaak de bevoegdheid van het Hof afhankelijk is.

49.      Zoals ik reeds heb aangegeven(48), blijkt uit de elementen van het dossier dat met het omstreden verzoek om toegang wordt beoogd gegevens te verkrijgen over de identiteit van de houders of gebruikers van de telefoonnummers die behoren bij de SIM-kaarten die met de gestolen telefoon zijn geactiveerd, teneinde de personen te traceren die dit apparaat in bezit hebben gehad, en dat niet om informatie is verzocht over eventuele telefoongesprekken die met het gestolen apparaat zijn gevoerd.

50.      Met andere woorden, ook al had gelet op de Spaanse regelgeving(49) een groter bereik persoonsgegevens kunnen worden beoogd, het verzoek in het hoofdgeding ziet enkel op gegevens betreffende de identiteit van de „gebruikers” in de zin van artikel 2, tweede alinea, onder a), van richtlijn 2002/58, en niet op willekeurige „locatiegegevens”(50) in de zin van artikel 2, tweede alinea, onder c), noch op gegevens betreffende de „communicatie” als zodanig, in de zin van ditzelfde artikel 2, tweede alinea, onder d).(51)

51.      Volgens het Spaanse openbaar ministerie, de Spaanse, Deense, Ierse en Letse regering en de regering van het Verenigd Koninkrijk alsmede de Commissie vallen de hier in het geding zijnde gegevens, voor zover op zichzelf beschouwd, dat wil zeggen onafhankelijk van daadwerkelijke communicatie in voorkomend geval, in beginsel evenmin onder het begrip „verkeersgegevens”, dat in artikel 2, tweede alinea, onder b), van richtlijn 2002/58 is gedefinieerd als alle „gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan”.(52)

52.      De identificatiegegevens die in casu door de politieautoriteiten zijn opgevraagd, lijken inderdaad geen betrekking te hebben op het „verkeer” van communicatie als zodanig, voor zover blijkt dat deze gegevens ook kunnen worden verkregen wanneer geen enkele telefonische oproep met het gestolen apparaat is gedaan, en dus zelfs wanneer over de betrokken tijdspanne geen communicatie tussen personen heeft plaatsgevonden via de mobiele-telefonieaanbieder.(53)

53.      Desalniettemin ben ik van mening dat een geding als het hoofdgeding binnen de werkingssfeer van richtlijn 2002/58 valt, aangezien de verwerking van de in casu opgevraagde gegevens die behoren bij de SIM-kaarten en de houders ervan, uit commercieel oogpunt noodzakelijk is voor het aanbieden van de elektronische-communicatiediensten(54), in ieder geval voor het factureren van de verrichte diensten(55), ongeacht de oproepen die al dan niet in het kader van deze dienstverrichting zijn gedaan.

54.      Gelet op artikel 1, lid 1, en artikel 3 van richtlijn 2002/58(56) deel ik namelijk het standpunt dat met name de Commissie heeft verwoord, namelijk dat deze richtlijn in algemene zin van toepassing is op de verwerking van persoonsgegevens in het kader van elektronische-communicatiediensten, wat betekent dat niet alleen de gegevens van een specifieke communicatie, maar ook de gegevens betreffende de identiteit van de gebruikers van dergelijke diensten, zoals de gegevens in casu, binnen de werkingssfeer van deze richtlijn vallen. Mede gelet op de in deze richtlijn opgenomen beschermingsdoelstellingen, die hoofdzakelijk de eerbiediging van de in het Handvest neergelegde grondrechten beogen(57), ben ik dan ook van mening dat het begrip „communicatie” in de zin van dit instrument in ruime zin moet worden opgevat en dat het beginsel van vertrouwelijkheid van de communicatie waarin dit instrument voorziet(58), in casu wel degelijk in het geding is.

55.      Deze uitlegging wordt mijns inziens kracht bijgezet door een eerder arrest waarin het Hof heeft geoordeeld dat een geding over de overdracht van de namen en adressen van de gebruikers van een elektronische-communicatiedienst binnen de werkingssfeer van richtlijn 2002/58 viel.(59) Ik voeg hieraan toe dat artikel 12 van deze richtlijn, dat betrekking heeft op abonneelijsten, in mijn ogen zeker gegevens van deze aard beoogt(60), en dat in overweging 15 van diezelfde richtlijn ook een ruime opvatting van het begrip „communicatie” tot uitdrukking wordt gebracht, met name omdat wordt verwezen naar adresseringsgegevens die „door de gebruiker van een verbinding worden verstrekt”.(61)

56.      Deze zienswijze strookt bovendien met de rechtspraak van het EHRM op dit gebied(62), waarbij ik in herinnering breng dat in de preambule van richtlijn 2002/58 wordt benadrukt dat deze richtlijn het vertrouwelijke karakter van communicatie en het recht van gebruikers op persoonlijke levenssfeer waarborgt overeenkomstig het EVRM, zoals dat is uitgelegd door het EHRM(63), ook al is dit verdrag niet formeel in de rechtsorde van de Unie opgenomen.(64)

57.      Dientengevolge ben ik van mening dat een geding als het hoofdgeding binnen de materiële werkingssfeer van richtlijn 2002/58 valt en dat de door de Spaanse regering opgeworpen exceptie van onbevoegdheid moet worden verworpen.

58.      Volledigheidshalve voeg ik hier niettemin aan toe dat, mocht richtlijn 2002/58 in casu niet van toepassing worden verklaard, de bevoegdheid van het Hof om uitspraak te doen in de onderhavige zaak niet kan worden gebaseerd op richtlijn 95/46, die zowel door de verwijzende rechter als door de Spaanse regering is aangehaald.

59.      Zoals de Commissie heeft aangegeven, is richtlijn 95/46 immers weliswaar het instrument van algemene strekking betreffende de verwerking van persoonsgegevens(65), maar de vragen van de verwijzende rechter zouden mijns inziens hun relevantie verliezen als ze uitsluitend vanuit deze invalshoek zouden worden onderzocht, aangezien de vragen betrekking hebben op de drempel waarboven strafbare feiten als „ernstige criminaliteit” kunnen worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, waarin deze richtlijn niet wordt uitgelegd.(66)

2.      Ontvankelijkheid van het verzoek om een prejudiciële beslissing

60.      De Spaanse regering stelt subsidiair, mocht het Hof zich bevoegd verklaren om de prejudiciële vragen te beantwoorden, dat het verzoek om een prejudiciële beslissing niet-ontvankelijk moet worden verklaard, en wel om twee redenen.

61.      Ten eerste voert de Spaanse regering aan dat de verwijzende rechter het regelgevingskader van de Unie waarover het Hof uitspraak moet doen, niet duidelijk heeft omschreven.

62.      In dit verband brengt de Spaanse regering in herinnering dat het Hof volgens vaste rechtspraak, in het kader van de samenwerking krachtens artikel 267 VWEU, slechts kan weigeren uitspraak te doen op prejudiciële vragen, waarop een vermoeden van relevantie rust, wanneer duidelijk blijkt dat de gevraagde uitlegging of toetsing van de geldigheid van een regel van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen.(67)

63.      Ik ben echter van mening dat de grief van de Spaanse regering in casu niet gegrond is. Mijns inziens heeft de verwijzende rechter, gelet op zijn toelichting, immers duidelijk aangegeven welke bepalingen van Unierecht volgens hem relevant zijn. Dienaangaande wijs ik er nogmaals op dat, ten eerste, de prejudiciële vragen in het bijzonder betrekking hebben op de artikelen 7 en 8 van het Handvest en, ten tweede, deze rechter verklaart dat richtlijnen 95/46 en 2002/58 het vereiste aanknopingspunt vormen tussen enerzijds de nationale regelgeving die van toepassing is op het hoofdgeding en anderzijds het Unierecht(68), en ten derde, richtlijn 2002/58, zoals blijkt uit overweging 2, met name strekt tot volledige eerbiediging van de in de artikelen 7 en 8 van het Handvest verankerde rechten.(69)

64.      Voorts is het niet van belang dat een van de onderdelen van de Spaanse wettelijke regeling die in de verwijzingsbeslissing worden genoemd, te weten wet 25/2007, uitvoering geeft aan richtlijn 2006/24, die is ingetrokken als gevolg van de ongeldigverklaring ervan in het arrest Digital Rights.(70) Zoals de verwijzende rechter terecht opmerkt, zou het onjuist zijn om de prejudiciële vragen die in casu aan het Hof zijn voorgelegd vanwege deze ongeldigverklaring als irrelevant te bestempelen. In dit verband kan worden volstaan met de vaststelling dat het voorwerp van deze vragen, te weten de bescherming van persoonsgegevens, tot de bevoegdheden van de Unie behoort en dat het hoofdgeding binnen de werkingssfeer van een rechtshandeling van de Unie valt, namelijk richtlijn 2002/58(71), tot wijziging waarvan de ongeldig verklaarde richtlijn 2006/24 was vastgesteld.

65.      Overigens moet worden geconstateerd dat verreweg de meeste partijen die opmerkingen hebben ingediend bij het Hof, zich op het standpunt stellen dat het onderhavige verzoek om een prejudiciële beslissing moet worden onderzocht in het licht van artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, alsook aan de hand van de richtsnoeren die voortvloeien uit de arresten Digital Rights en Tele2. Ik deel dit standpunt, waarbij moet worden gepreciseerd dat uitsluitend in artikel 15, lid 1, van richtlijn 2002/58 de uitdrukking „strafbare feiten” wordt gebruikt in plaats van „ernstige criminaliteit”.(72)

66.      Ten tweede stelt de Spaanse regering dat artikel 7 van het Handvest, dat de hoeksteen van het onderhavige verzoek om een prejudiciële beslissing zou vormen, niet relevant is omdat de in het hoofdgeding gevraagde onderzoeksmaatregel niet de interceptie van communicatie beoogt en aldus de vertrouwelijkheid van de communicatie niet in gevaar kan brengen, met als gevolg dat de prejudiciële vragen van hypothetische aard zijn.

67.      Mijns inziens is artikel 7 van het Handvest in de onderhavige zaak wel degelijk relevant en is het verzoek om een prejudiciële beslissing dan ook niet hypothetisch. Gelet op het voorwerp van de maatregel die in het hoofdgeding aan de orde is(73), is in casu weliswaar geen sprake van een risico van schending van het communicatiegeheim, maar dit neemt niet weg dat een dergelijke maatregel wel degelijk inbreuk kan maken op het recht op eerbiediging van het privéleven dat in bovengenoemd artikel wordt gewaarborgd, ook al is de inbreuk in mijn ogen van geringe omvang.(74)

68.      Volgens vaste rechtspraak van het Hof vormt de verstrekking van persoonsgegevens aan derden, zoals aan een overheidsdienst, immers een inmenging in het in artikel 7 van het Handvest verankerde grondrecht, ongeacht het latere gebruik van de aldus verstrekte gegevens. Hetzelfde geldt voor de bewaring van persoonsgegevens, met name door aanbieders van elektronische-communicatiediensten, alsook voor de toegang tot die gegevens met het oog op gebruik ervan door de overheidsinstanties.(75)

69.      Ik ben dan ook van mening dat de exceptie van niet-ontvankelijkheid die door de Spaanse regering is opgeworpen, moet worden verworpen en dat ten gronde uitspraak moet worden gedaan op het verzoek om een prejudiciële beslissing.

C.      Elementen die in aanmerking moeten worden genomen bij de bepaling of een strafbaar feit voldoende ernstig is om inmenging in de betrokken grondrechten te rechtvaardigen (eerste vraag)

70.      Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen met welke elementen rekening moet worden gehouden teneinde te bepalen of strafbare feiten voldoende ernstig zijn om in het kader van het bewaren van en de toegang tot persoonsgegevens inmenging in de grondrechten van de artikelen 7 en 8 van het Handvest te rechtvaardigen overeenkomstig de rechtspraak die voortvloeit uit het arrest Digital Rights en vervolgens uit het arrest Tele2.

71.      In dit verband breng ik in herinnering dat het Hof in het arrest Digital Rights het begrip „ernstige criminaliteit”(76), soms afgewisseld met het begrip „zware criminaliteit”(77), heeft gebruikt als criterium ter beoordeling van het doel en de evenredigheid van de inmenging in de bedoelde grondrechten die werd veroorzaakt door Unierechtelijke bepalingen betreffende persoonsgegevens, te weten de bepalingen van richtlijn 2006/24. Ik wijs erop dat deze begrippen, die niet voorkomen in richtlijn 2002/58(78), werden gebruikt in richtlijn 2006/24(79), die bij dat arrest ongeldig is verklaard. Het Hof heeft deze twee begrippen vervolgens als zelfde beoordelingscriterium gebruikt in het arrest Tele2(80), zij het in dit geval aangaande de verenigbaarheid met het Unierecht(81) van door de lidstaten vastgestelde maatregelen.

72.      Meer in het bijzonder wordt het Hof met de eerste prejudiciële vraag verzocht vast te stellen of, teneinde te beoordelen of sprake is van „ernstige criminaliteit” die inmenging in de door artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten aangaande persoonsgegevens kan rechtvaardigen, uitsluitend de straf die op het betrokken strafbare feit is gesteld in beschouwing moet worden genomen of, bovendien, de bijzondere ernst van de strafbaar gestelde gedraging ten aanzien van de individuele en/of collectieve rechtsgoederen die in het geding zijn.

73.      Evenals de Commissie ben ik echter van mening dat, voordat deze vraag kan worden beantwoord, moet worden onderzocht of de inmenging die in een geding als het hoofdgeding aan de orde is, wel dermate ernstig is dat zij krachtens het Unierecht moet worden gerechtvaardigd uit ho de bestrijding van ernstige criminaliteit, wil er sprake zijn van een toelaatbare inmenging. Indien dit niet het geval is, zou het Hof de relevante bepalingen van Unierecht mijns inziens immers niet in het licht van het door de verwijzende rechter verwoorde verzoek moeten uitleggen, maar na herformulering van de eerste vraag(82) tegen de achtergrond van de omstandigheden van het hoofdgeding.(83)

1.      Inaanmerkingneming van de niet-ernstige aard van de omstreden inmenging

74.      Allereerst moet worden vastgesteld of de handelingen waarover het gaat in het hoofdgeding, wel inbreuk kunnen maken op de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten, en aldus inmenging in deze rechten kunnen vormen in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2.

75.      Zoals de Spaanse en de Deense regering in hun pleidooi hebben aangevoerd(84) en zoals ik reeds heb opgemerkt(85), lijken de gegevens waartoe de met het strafrechtelijk onderzoek belaste autoriteiten om toegang verzoeken, weliswaar minder gevoelig te zijn dan bepaalde andere categorieën persoonsgegevens(86), gelet op het feit dat het onderzoek in de onderhavige zaak uitsluitend betrekking blijkt te hebben op de voornaam, achternaam en eventueel het adres van de bij het onderzoek betrokken personen, zijnde de gebruikers van de telefoonnummers die zijn geactiveerd met de gestolen telefoon die het voorwerp is van dit onderzoek.

76.      Ik ben echter van mening dat het voor de vaststelling of persoonsgegevens onder de bescherming moeten vallen waarin het Unierecht, en met name richtlijn 2002/58(87), voorziet, niet relevant is of de gegevens die met het verzoek tot bewaring of verstrekking worden beoogd, al dan niet bijzonder gevoelige gegevens zijn. Zoals is gebleken uit de eerste wetgevingshandelingen op dit gebied, kan immers „[n]aargelang van het doel waarvoor het wordt gebruikt […] elk gegeven dat betrekking heeft op een persoon, hoe onschuldig het op het eerste gezicht ook lijkt, een gevoelig karakter hebben (bijvoorbeeld een eenvoudig postadres)”.(88) Bovendien heeft het Hof reeds geoordeeld dat voor de vaststelling of sprake is van inmenging in het in artikel 7 van het Handvest neergelegde grondrecht „het van weinig belang [is] of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden”.(89)

77.      Voorts zij eraan herinnerd dat de verstrekking van persoonsgegevens aan derden, zelfs aan overheidsdiensten zoals een gerechtelijke politiedienst, inmenging in het in artikel 7 van het Handvest gewaarborgde fundamentele recht vormt(90), ook als deze gegevens worden overgedragen met het oog op een strafrechtelijk onderzoek, welke situatie overigens uitdrukkelijk wordt genoemd in artikel 15, lid 1, van richtlijn 2002/58.(91) Ik voeg hieraan toe dat een dergelijke handeling ook inmenging kan vormen in het door artikel 8 van het Handvest gewaarborgde fundamentele recht op bescherming van persoonsgegevens, aangezien zij leidt tot de verwerking van persoonsgegevens.(92)

78.      Mijns inziens moet dan ook worden vastgesteld dat een maatregel als die in het hoofdgeding inmenging vormt in de fundamentele rechten die worden gewaarborgd in de artikelen 7 en 8 van het Handvest.

79.      Desalniettemin ben ik van mening dat in de omstandigheden van de onderhavige zaak eenessentieel element ontbreekt dat naar het oordeel van het Hof vereist is in het stadium van de rechtvaardiging van een dergelijke inmenging, namelijk dat er sprake is van „ernstige criminaliteit” – het begrip waarvan de verwijzende rechter om een definitie verzoekt –, teneinde te kunnen afwijken van het beginsel van de vertrouwelijkheid van de elektronische communicatie. Het element dat volgens mij in casu ontbreekt, en dat nodig is om de eerste prejudiciële vraag in de bewoordingen van de verwijzende rechter te kunnen beantwoorden, is de ernst van de omstreden inmenging, welke factor, indien deze aanwezig zou zijn, de noodzaak van een strengere rechtvaardiging zou meebrengen.

80.      In dit verband merk ik op dat het Hof in het arrest Digital Rights de aandacht heeft gevestigd op de bijzondere omvang en ernst van de inmenging die door de betrokken regeling werd veroorzaakt, met name door vast te stellen dat „richtlijn 2006/24 algemeen van toepassing is op alle personen, alle elektronische-communicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel, zware criminaliteit te bestrijden”.(93)

81.      Op eenzelfde wijze heeft het Hof in het arrest Tele2 voor recht verklaard dat artikel 15, lid 1, van richtlijn 2002/58 „zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronische-communicatiemiddelen”.(94) In dat arrest is ook een onderling verband gelegd tussen enerzijds de geconstateerde bijzondere „ernst van de inmenging” en anderzijds de noodzaak om schending van een dergelijke omvang van de in de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten te rechtvaardigen op grond van een dermate essentiële reden van algemeen belang als de „bestrijding van ernstige criminaliteit”.(95)

82.      Dit verband tussen de geconstateerde ernst van de inmenging en het wezenlijke belang van de rechtvaardigingsgrond voor deze inmenging is met eerbiediging van het evenredigheidsbeginsel gelegd.(96) Bovendien heeft het EHRM in zijn rechtspraak met betrekking tot artikel 8 EVRM(97) mijns inziens eenzelfde onderling verband gelegd als het verband dat voortvloeit uit de arresten Digital Rights en Tele2.

83.      Zoals ik reeds heb opgemerkt(98) en zoals met name de Franse regering, de regering van het Verenigd Koninkrijk alsmede de Commissie hebben benadrukt, onderscheidt de inmenging die in het onderhavige geding aan de orde is zich naar haar aard in meerdere opzichten van de inmenging die het Hof in deze twee eerdere arresten heeft vastgesteld. Daarom moet de verenigbaarheid met het Unierecht van een maatregel als de betrokken maatregel op een andere manier worden onderzocht.

84.      In casu is geen sprake van een maatregel houdende een verplichting tot algemene en ongedifferentieerde bewaring van verkeersgegevens en locatiegegevens van iedere willekeurige abonnee of geregistreerde gebruiker, die betrekking zou hebben op alle elektronische-communicatiemiddelen. Het betreft hier een gerichte maatregel die de bevoegde autoriteiten de mogelijkheid biedt om, met het oog op een strafrechtelijk onderzoek, toegang te krijgen tot door dienstenaanbieders voor commerciële doeleinden bewaarde gegevens, en die uitsluitend betrekking heeft op de identiteit (naam, voornaam en eventueel adres) van een afgebakende categorie abonnees of gebruikers van een specifiek communicatiemiddel, te weten die personen van wie het telefoonnummer is geactiveerd met de gestolen mobiele telefoon die het voorwerp is van het onderzoek, en dat over een afgebakende tijdspanne van ongeveer twaalf dagen.(99)

85.      Ik voeg hieraan toe dat de mogelijk nadelige gevolgen voor de personen die met het betrokken toegangsverzoek worden beoogd, gering zijn en binnen bepaalde perken blijven. De opgevraagde gegevens zijn immers bestemd voor gebruik in het bijzondere kader van een onderzoeksmaatregel en niet voor openbare verspreiding.(100) Bovendien gaat op grond van de Spaanse wet de aan de politieautoriteiten geboden toegangsmogelijkheid gepaard met procedurele waarborgen, aangezien die mogelijkheid is onderworpen aan rechterlijke toetsing, die in het hoofdgeding overigens heeft geleid tot afwijzing van het verzoek van de politie.

86.      In mijn ogen is de inmenging in de bovengenoemde fundamentele rechten als gevolg van de verstrekking van de civiele-identiteitsgegevens niet bijzonder ernstig(101), aangezien deze gegevens, gelet op de aard en de geringe omvang ervan, op zichzelf niet volstaan om uitgebreide en/of specifieke informatie te verkrijgen over de betrokken personen(102), en aldus niet direct en ernstig ingrijpen in de persoonlijke levenssfeer van deze personen in deze bijzondere omstandigheden.(103)

87.      Dientengevolge ben ik evenals de Commissie van mening dat, teneinde de verwijzende rechter de relevante aanwijzingen te verstrekken voor de beslechting van het bij hem aanhangige geding, de eerste prejudiciële vraag moet worden geherformuleerd, zodat het antwoord van het Hof betrekking zal hebben op de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 tegen de achtergrond van omstandigheden als in casu, namelijk wanneer sprake is van een inmenging in de bovengenoemde fundamentele rechten die niet bijzonder ernstig is en die gebaseerd is op de bestrijding van een type strafbaar feit aan de ernst waarvan wordt getwijfeld.

88.      In dit verband moet in herinnering worden gebracht dat, aangezien de doeleinden die kunnen rechtvaardigen dat met een nationale regeling wordt afgeweken van het beginsel van vertrouwelijkheid van de elektronische communicatie, uitputtend zijn opgesomd in artikel 15, lid 1, van richtlijn 2002/58, de toegang tot de bewaarde gegevens daadwerkelijk en strikt aan een van de genoemde doeleinden moet tegemoetkomen.(104) Een van deze doeleinden is het „voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten”(105), zonder nadere beschrijving van de aard van deze feiten.

89.      Uit de gebruikte terminologie blijkt niet dat de strafbare feiten die de betrokken beperkende maatregel krachtens artikel 15, lid 1, van richtlijn 2002/58 rechtvaardigen, als „ernstige criminaliteit” moeten kunnen worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2. In mijn ogen moeten de strafbare feiten die een dergelijke inmenging kunnen rechtvaardigen, alleen dan bijzonder ernstig van aard zijn wanneer ook de betrokken inmenging bijzonder ernstig van aard is, zoals in de zaken die tot de genoemde arresten hebben geleid. Indien echter sprake is van een niet-ernstige inmenging, geldt het basisbeginsel dat voortvloeit uit de bewoordingen van deze bepaling, namelijk dat ieder type „strafbaar feit” een dergelijke inmenging kan rechtvaardigen.

90.      Mijns inziens moet ervoor worden gewaakt dat de vereisten die het Hof in deze twee arresten heeft vastgesteld, te ruim worden opgevat teneinde de mogelijkheid die de lidstaten krachtens artikel 15, lid 1, van richtlijn 2002/58 hebben om af te wijken van de bij deze richtlijn ingestelde regeling voor gevallen waarin de inmenging in de persoonlijke levenssfeer een legitiem doel dient en tegelijkertijd een geringe reikwijdte heeft, zoals de inmenging die in casu het gevolg kan zijn van het verzoek van de gerechtelijke politie, niet of althans niet buitensporig te beperken. Concreet betekent dit naar mijn mening dat het Unierecht zich niet ertegen verzet dat de bevoegde autoriteiten toegang kunnen hebben tot de identificatiegegevens die in het bezit zijn van aanbieders van elektronische-communicatiediensten, waarmee de vermeende daders van een niet-ernstig strafbaar feit kunnen worden opgespoord.

91.      Gelet op een en ander stel ik het Hof voor op de geherformuleerde prejudiciële vraag te antwoorden dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat een maatregel die de bevoegde nationale autoriteiten, ter bestrijding van strafbare feiten, toegang geeft tot de identificatiegegevens van de gebruikers van de telefoonnummers die zijn geactiveerd met een specifieke telefoon over een afgebakende tijdspanne, in omstandigheden als in het hoofdgeding, een inmenging vormt in de fundamentele rechten die in deze richtlijn en in het Handvest worden gewaarborgd, die niet dermate ernstig is dat deze toegang moet worden beperkt tot gevallen waarin het betrokken strafbare feit ernstig is.

92.      Het aldus voorgestelde antwoord in aanmerking genomen, worden de hiernavolgende constateringen louter subsidiair uiteengezet, omwille van de volledigheid.

2.      Eventuele vaststelling van de relevante criteria op basis waarvan kan worden bepaald of een strafbaar feit voldoende ernstig is

93.      Ingeval het Hof, in weerwil van mijn voorstel, zou oordelen dat in casu, ondanks de zeer specifieke omstandigheden van het hoofdgeding, moet worden uitgemaakt wat dient te worden verstaan onder „ernstige criminaliteit” in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2(106), zou ten eerste nog moeten worden onderzocht of deze kwalificatie een autonoom begrip van Unierecht is, dat bijgevolg door het Hof zou moeten worden gedefinieerd. In lijn met het antwoord dat de Franse regering primair in overweging geeft, ben ik hiervan om de volgende redenen niet overtuigd.

94.      Allereerst stel ik vast dat richtlijn 2006/24, waaruit het begrip „strafbaar feit” afkomstig is(107), dit begrip niet definieerde maar voor een definitie naar de rechtsorden van de lidstaten verwees.(108) Ik voeg hieraan toe dat de relevante overwegingen in de arresten Digital Rights en Tele2 mijns inziens niet aldus moeten worden opgevat dat zij strekken tot harmonisatie van de in de lidstaten geldende rechtsregels die betrekking hebben op de inhoud van dit begrip.

95.      In dit verband breng ik in herinnering dat het strafrecht en het strafprocesrecht tot de bevoegdheden van de lidstaten behoren, ook al kan de rechtsorde van de lidstaten worden beïnvloed door bepalingen van Unierecht die op dit gebied zijn vastgesteld.(109) Ingevolge artikel 83, lid 2, VWEU kan de Unie uitsluitend indien harmonisatie van het strafrecht van de lidstaten nodig blijkt voor een doeltreffende uitvoering van beleid van de Unie op een gebied waarop harmonisatiemaatregelen zijn vastgesteld, bij richtlijnen minimumvoorschriften vaststellen voor de definitie van strafbare feiten en sancties op het betrokken gebied. Bij de huidige stand van het Unierecht bestaat er echter geen bepaling van algemene strekking die een geharmoniseerde definitie van het begrip „strafbaar feit” geeft.(110)

96.      De bevoegdheid om te bepalen wat „ernstige criminaliteit” is, ligt mijns inziens in beginsel bij de bevoegde autoriteiten van de lidstaten. Het is echter de taak van het Hof om, via de prejudiciële verwijzingen die de rechterlijke instanties van de lidstaten bij het Hof aanhangig kunnen maken, de eerbiediging te verzekeren van alle vereisten die uit het Unierecht voortvloeien, en met name toe te zien op een eenvormige toepassing van de bescherming waarin de bepalingen van het Handvest voorzien.

97.      Ik merk op dat de juridische kwalificatie die hier aan de orde is, niet alleen van lidstaat tot lidstaat kan verschillen, naargelang de in iedere lidstaat gevolgde tradities en gestelde prioriteiten, maar ook tijdsgebonden is en kan veranderen als gevolg van een strengere of juist minder strenge koers van het strafrechtbeleid teneinde op nationaal niveau rekening te houden met de ontwikkeling van de criminaliteit(111), alsook, in meer algemene zin, met de veranderingen van de maatschappij en van de bestaande behoeften, met name op het vlak van repressie, op nationaal niveau.

98.      Ook al ben ik mij bewust van de grote verschillen tussen de strafmaten die vanouds in de verschillende lidstaten gelden(112), ik wil bovendien benadrukken dat de ernst van een strafbaar feit niet uitsluitend afhangt van de zwaarte van de bijbehorende straf. Het antwoord op de vraag of een strafbaar feit ernstig is, is zeer relatief, voor zover dit wordt gebaseerd op de strafmaten die over het algemeen in de betrokken lidstaat gelden. Zo zegt het feit dat een lidstaat op een bepaald strafbaar feit een korte gevangenisstraf of zelfs een alternatieve straf stelt, niets over de intrinsieke ernst van het type strafbaar feit.(113)

99.      Ik ben van mening dat de bijzonderheden van het strafrechtstelsel van iedere lidstaat moeten worden gerespecteerd, voor zover het Unierecht de lidstaten geen verplichtingen oplegt die strikt verbindend voor hen zijn, naar analogie van het oordeel van het Hof inzake de bescherming van de „openbare veiligheid”(114), welk begrip mijns inziens op voet van gelijkheid kan worden gesteld met het begrip „bestrijding van criminaliteit”, met name gelet op de bewoordingen van artikel 15, lid 1, eerste zin, van richtlijn 2002/58.

100. Subsidiair ben ik dan ook van mening dat het begrip „ernstige criminaliteit” in de zin van de rechtspraak van het Hof die voortvloeit uit de arresten Digital Rights en Tele2, geen autonoom begrip van Unierecht is waarvan de inhoud moet worden gedefinieerd door het Hof, ook al neemt dit niet weg dat een afwijking krachtens artikel 15, lid 1, van richtlijn 2002/58 door de lidstaten moet worden toegepast met nakoming van de verplichtingen die voortvloeien uit het Unierecht, met name uit de in het Handvest neergelegde fundamentele rechten, en onder toezicht van het Hof.

101. Aangaande dit laatste aspect merk ik op dat uit de rechtspraak van het Hof in het bijzonder naar voren komt dat dit artikel 15, lid 1, voor zover hierin is bepaald dat de lidstaten de reikwijdte van sommige rechten en verplichtingen waarin deze richtlijn voorziet kunnen beperken, strikt dient te worden uitgelegd en dus niet ertoe kan leiden dat afwijken van deze rechten en principeverplichtingen de regel wordt.(115) Het begrip „ernstige criminaliteit” mag dan ook niet buitensporig ruim worden opgevat door de lidstaten.

102. In de tweede plaats, en uiterst subsidiair, ingeval het Hof van oordeel zou zijn dat het gaat om een autonoom begrip, het moeten antwoorden op de vraag zoals die door de verwijzende rechter is geformuleerd, en zich bijgevolg moeten uitspreken over de vaststelling van criteria ter beoordeling op Unierechtelijk niveau of een strafbaar feit voldoende ernstig is om inmenging in de fundamentele rechten die zijn neergelegd in de artikelen 7 en 8 van het Handvest te rechtvaardigen.

103. Meer in het bijzonder zou het Hof moeten bepalen of het volstaat, teneinde het bestaan van „ernstige criminaliteit” in de zin van de aangehaalde rechtspraak vast te stellen, om de voorgeschreven straf voor het vermeende strafbare feit in beschouwing te nemen, of dat, bovendien, de strafbaar gestelde gedraging de in geding zijnde individuele en/of collectieve rechtsgoederen in bijzondere mate moet hebben aangetast. Net als de Deense, Spaanse, Franse, Hongaarse, Oostenrijkse en Poolse regering en de regering van het Verenigd Koninkrijk ben ik dienaangaande van mening dat niet voor het eerste onderdeel van deze keuzemogelijkheid, maar in wezen voor het tweede onderdeel ervan moet worden gekozen, waarbij de voorkeur moet worden gegeven aan een definitie die is gebaseerd op meerdere beoordelingscriteria.(116)

104. Wat betreft de ernst van het strafbare feit die de toegang tot gegevens kan rechtvaardigen, zou het mijns inziens, gelet op het evenredigheidsbeginsel, onmogelijk zijn om de ernst van de ten laste gelegde feiten te bepalen door uitsluitend de mogelijk op te leggen straf in beschouwing te nemen. Gezien de grote verschillen die er nog altijd bestaan tussen de strafrechtstelsels van de lidstaten, ben ik namelijk van mening dat de voorgeschreven straf noch vanuit de kwalitatieve invalshoek van het soort straf, noch vanuit de kwantitatieve invalshoek van de strafmaat de enige maatstaf kan zijn om de bijzondere ernst van een strafbaar feit te beoordelen.

105. Hoewel de straf van aanzienlijk belang is, moeten bij deze beoordeling ook andere objectieve factoren van geval tot geval in beschouwing worden genomen. Meer in het bijzonder zijn dit, ten eerste, de context waarin het vermeende strafbare feit is gepleegd – dat wil zeggen in hoeverre sprake is van opzet, verzwarende omstandigheden of recidive –, ten tweede de belangrijkheid van de maatschappelijke belangen die door de dader van het strafbare feit mogelijk zijn geschaad, alsook de aard en/of de omvang van de schade die mogelijk aan het slachtoffer van het strafbare feit is toegebracht(117) en, tot slot, de hoogte van de algemeen geldende straffen in de betrokken lidstaat.(118) Het is mijns inziens op basis van dit geheel van alternatieve, niet-uitputtende beoordelingscriteria dat een strafbaar feit eventueel zou moeten worden gekwalificeerd als „ernstige criminaliteit” in de zin van de betrokken rechtspraak van het Hof.

106. Ik voeg hieraan toe dat de aldus voorgestelde uitlegging in overeenstemming is met de benadering die het EHRM mijns inziens heeft gekozen in zijn rechtspraak met betrekking tot „het voorkomen van strafbare feiten” als doelstelling die een inmenging in het in artikel 8 EVRM neergelegde recht op privéleven kan rechtvaardigen, mits ook aan andere voorwaarden is voldaan.(119) Uit deze rechtspraak blijkt naar mijn oordeel dat de lidstaten die partij zijn bij het EVRM zich in dit kader rechtsgeldig kunnen beroepen op de bestrijding van bepaalde categorieën strafbare feiten(120), rekening houdend niet zozeer met uitsluitend de voorgeschreven straf, maar veeleer met diverse beoordelingscriteria, waaronder de aard van de betrokken strafbare feiten en de algemene en individuele belangen die hiermee in gevaar worden gebracht een belangrijke plaats innemen.(121)

107. Dientengevolge ben ik van mening dat, indien het begrip „ernstige criminaliteit” in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, door het Hof zou worden beschouwd als een autonoom begrip van Unierecht, het aldus zou moeten worden uitgelegd dat de ernstige aard van een strafbaar feit die de toegang door de bevoegde nationale autoriteiten tot persoonsgegevens krachtens artikel 15, lid 1, van richtlijn 2002/58 kan rechtvaardigen, niet moet worden beoordeeld door uitsluitend de mogelijk op te leggen straf in beschouwing te nemen, maar door bovendien rekening te houden met een aantal andere objectieve beoordelingscriteria, zoals de criteria die hierboven zijn genoemd.

D.      Subsidiaire vaststelling van het vereiste minimumniveau van de straf ter bepaling of een strafbaar feit voldoende ernstig is om inmenging in de betrokken grondrechten te rechtvaardigen (tweede vraag)

108. Met zijn tweede vraag verzoekt de verwijzende rechter het Hof in wezen, ten eerste, het minimumniveau van de voorgeschreven straf vast te stellen waarboven een strafbaar feit als „ernstige criminaliteit” kan worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, en, ten tweede, vast te stellen of de drempel van drie jaar gevangenisstraf, waarin het Spaanse wetboek van strafvordering sinds de herziening van 2015(122) voorziet, in overeenstemming is met de vereisten van Unierecht.

109. Deze vraag wordt louter subsidiair voorgelegd, ingeval het Hof op de eerste prejudiciële vraag zou antwoorden dat de ernst van een strafbaar feit, als factor die een inmenging in de fundamentele rechten kan rechtvaardigen overeenkomstig deze rechtspraak, moet worden bepaald door uitsluitend de hoogte van de mogelijk op te leggen vrijheidsstraf in beschouwing te nemen.

110. Gelet op het door mij voorgestelde antwoord op de eerste prejudiciële vraag is het mijns inziens niet nodig dat het Hof uitspraak doet op de tweede vraag. Omwille van de volledigheid zal ik desalniettemin enkele opmerkingen hieromtrent maken.

111. Aangaande het eerste deelvan de tweede vraag ben ik net als met name de Tsjechische en de Estse regering van mening dat de hoogte van de voorgeschreven straf, die als enig criterium zou kunnen worden gebruikt om een strafbaar feit als „ernstige criminaliteit” te kwalificeren, niet eenvormig kan worden vastgesteld voor het gehele grondgebied van de Unie, gelet op de overwegingen die hierboven zijn uiteengezet in antwoord op de eerste vraag van de verwijzende rechter.(123)

112. Overigens zijn deze verschillen in definitie van wat moet worden verstaan onder „ernstige criminaliteit”, in het bijzonder met betrekking tot de hoogte van de straf waarboven een strafbaar feit als dusdanig kan worden gekwalificeerd”, ook terug te vinden in de rechtshandelingen van de Unie. Zo voorzien de handelingen van de Unie die zijn vastgesteld op grond van artikel 83, lid 1, VWEU, in gevangenisstraffen van verschillende hoogten voor strafbare feiten die niettemin worden beschouwd als vormen van „bijzonder zware criminaliteit”.(124) Dit blijkt bijvoorbeeld uit artikel 3, van richtlijn 2011/93/EU(125) en artikel 15 van richtlijn (EU) 2017/541(126), betreffende de bestrijding van seksueel misbruik van kinderen en kinderpornografie, respectievelijk de bestrijding van terrorisme. De wetgever van de Unie hanteert zelf dus geen eenvormige definitie van het begrip „ernstige criminaliteit” op basis van de vastgestelde hoogte van de voorgeschreven straf.

113. Ik wijs er nogmaals op dat de vrijheid die de lidstaten hebben om de vereiste minimumhoogte van de straf te bepalen waarboven strafbare feiten worden beschouwd als „ernstige criminaliteit”, wordt geflankeerd door normen van Unierecht op dit gebied, maar ook door het beginsel dat een uitzondering niet dusdanig ruim mag worden opgevat dat zij hierdoor feitelijk de algemene regel wordt.(127)

114. In casu hebben de lidstaten, ook al hebben zij de mogelijkheid om zelf te beoordelen vanaf welke passende strafmaat sprake is van „ernstige criminaliteit”, evenwel de plicht om deze strafmaat niet op een dusdanig laag niveau vast te stellen in vergelijking met de gangbare strafmaten in de betreffende lidstaat(128) dat de in dat artikel 15, lid 1, bepaalde uitzonderingen op het verbod om persoonsgegevens te bewaren en te gebruiken tot principes worden verheven, zoals de Ierse regering terecht heeft opgemerkt.

115. Voorts staat vast dat in geval van inmengingen in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten die krachtens artikel 15, lid 1, van richtlijn 2002/58 door de lidstaten zouden kunnen worden toegestaan, bovendien nog altijd naleving is geboden van de algemene vereisten die voortvloeien uit het evenredigheidsbeginsel dat is vervat in artikel 52, lid 1, van het Handvest.(129)

116. Aangaande het laatste deelvan de tweede vraag merken de Estse regering en de Commissie op dat, ten eerste, een drempel die uitsluitend is gebaseerd op een gevangenisstraf van ten minste drie jaar op zich lijkt te volstaan om een strafbaar feit te kwalificeren als „ernstige criminaliteit” in de zin van de rechtspraak van het Hof inzake de toegang tot persoonsgegevens die voortvloeit uit het arrest Digital Rights, en, ten tweede, een dergelijke drempel niet kennelijk onverenigbaar is met het Unierecht in het algemeen(130), en meer in het bijzonder met artikel 15, lid 1, van richtlijn 2002/58.

117. Desondanks zou het mijns inziens wenselijk zijn dat het Hof zich onthoudt van een oordeel ten gunste van een welbepaalde strafmaat. Wat voor bepaalde lidstaten geschikt is, is immers niet per definitie geschikt voor andere lidstaten, en wat vandaag geldt voor een bepaald type strafbaar feit, is niet noodzakelijkerwijs onherroepelijk en geldt in de toekomst mogelijkerwijs niet meer, zoals ik reeds heb opgemerkt.(131) Aangezien de vaststelling van de betreffende drempel een complexe en mogelijk evolutieve beoordeling vergt, pleit ik dienaangaande voor een voorzichtige benadering en ben ik van mening dat deze handeling, indien deze binnen de bevoegdheidssfeer van de Unie valt, moet worden overgelaten aan het oordeel van de Uniewetgever, en anders aan het oordeel van de wetgever van de afzonderlijke lidstaten, evenwel binnen de grenzen van de Unierechtelijke vereisten.

118. Aangaande dit laatste punt wijs ik erop dat de verwijzende rechter in casu vaststelt dat, zoals hierboven reeds is vermeld(132), het risico bestaat dat de algemene regel en de afwijkingen waarin richtlijn 2002/58 voorziet, worden omgekeerd, waarbij hij opmerkt dat „de drempel van drie jaar gevangenisstraf [die in 2015 door de Spaanse wetgever is ingevoerd(133)] verreweg het merendeel van de strafbaar gestelde gedragingen” kan bestrijken. Anders gezegd, volgens de verwijzende rechter zou de bij de herziening van het wetboek van strafvordering vastgestelde huidige lijst van strafbare feiten die in Spanje de beperkingen van de in de artikelen 7 en 8 van het Handvest beschermde rechten kunnen rechtvaardigen, in de praktijk impliceren dat het merendeel van de in het wetboek van strafrecht bepaalde strafbare feiten op die lijst komt te staan.

119. In de veronderstelling dat de inmenging in het hoofdgeding door het Hof als ernstig zou worden aangemerkt en het door de verwijzende rechter genoemde gevolg zich zou voltrekken, dan zou dit gevolg in mijn ogen niet te verzoenen zijn met het evenredigheidsvereiste, waaraan dergelijke beperkingen zijn onderworpen.(134) Het bestaan van rechterlijke toetsing, waarop de Spaanse regering heeft gewezen, doet mijns inziens niets af aan deze vaststelling, aangezien deze toetsing uitsluitend de uitvoering kan beletten van maatregelen waarvan in een concreet geval is komen vast te staan dat ze willekeurig zijn of te ver ingrijpen, en niet het gebruik van maatregelen van dit type en de ontwikkeling ervan in algemene zin kan verhinderen.

120. Tot slot wil ik benadrukken dat de in dit gedeelte voorgestelde zienswijze volgens mij overeenstemt met de in de rechtspraak van het EHRM gekozen benadering inzake de bescherming van persoonsgegevens. Deze rechterlijke instantie heeft, zoals de Ierse regering en de Commissie aangeven, inderdaad geoordeeld dat de nationale regelgevingen met een definitie van „ernstige” strafbare feiten die een inmenging in de persoonlijke levenssfeer kunnen rechtvaardigen, voldoende duidelijk zijn wanneer hierin wordt verwezen naar een voorgeschreven gevangenisstraf van ten minste drie jaar.(135) Desalniettemin heeft dat hof deze strafmaat in mijn ogen niet verheven tot absoluut, vaststaand criterium voor deze definiëring, aangezien zijn rechtspraak mijns inziens gericht is op het vereiste van voldoende voorspelbaarheid en duidelijkheid voor de burgers met betrekking tot de aard van de strafbare feiten die een dergelijke inmenging kunnen rechtvaardigen en niet zozeer met betrekking tot de voorgeschreven straf.(136) Hoewel het EHRM de staten overigens een zekere marge laat om het bestaan en de mate van noodzakelijkheid van een dergelijke inmenging te beoordelen, onderwerpt het deze beoordelingsmarge niettemin aan toetsing op Europees niveau.(137) In het bijzonder ziet dat hof erop toe dat misbruik wordt voorkomen als gevolg van regelgevingen waarin een dermate groot aantal strafbare feiten is bepaald dat het merendeel van de strafbare feiten ingrijpende maatregelen kan rechtvaardigen.(138)

121. Concluderend ben ik dan ook van mening dat, ingeval het Hof – in weerwil van mijn voorstel – zou oordelen dat uitsluitend de hoogte van de voorgeschreven straf in beschouwing moet worden genomen teneinde een strafbaar feit als „ernstige criminaliteit” te kwalificeren in de zin van de rechtspraak die voortvloeit uit het arrest Digital Rights, op de tweede prejudiciële vraag moet worden geantwoord dat de lidstaten vrij zijn om dienaangaande de minimale hoogte van de relevante straf vast te stellen, voor zover zij de vereisten van het Unierecht in acht nemen, in het bijzonder die vereisten op grond waarvan inmengingen in de in de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten een uitzondering moeten blijven en het evenredigheidsbeginsel moeten eerbiedigen.

V.      Conclusie

122. Gelet op een en ander geef ik het Hof in overweging de prejudiciële vragen van de Audiencia Provincial de Tarragona te beantwoorden als volgt:

„Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, moet aldus worden uitgelegd dat een maatregel die de bevoegde nationale autoriteiten, ter bestrijding van strafbare feiten, toegang geeft tot de identificatiegegevens van de gebruikers van de telefoonnummers die zijn geactiveerd met een specifieke telefoon over een afgebakende tijdspanne, in omstandigheden als in het hoofdgeding, een inmenging vormt in de fundamentele rechten die in deze richtlijn en in het Handvest worden gewaarborgd, die niet dermate ernstig is dat deze toegang moet worden beperkt tot gevallen waarin het betrokken strafbare feit ernstig is.”


1      Oorspronkelijke taal: Frans.


2      [Voetnoot niet relevant voor de Nederlandse versie.]


3      Arrest van 8 april 2014 (C‑293/12 en C‑594/12, EU:C:2014:238), waarbij het Hof richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB 2006, L 105, blz. 54) ongeldig heeft verklaard op grond dat „de wetgever van de Unie met de vaststelling van richtlijn 2006/24 de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7, 8 en 52, lid 1, van het Handvest in acht dient te nemen” (punt 69).


4      Arrest van 21 december 2016 (C‑203/15 en C‑698/15, EU:C:2016:970), waarbij het Hof heeft geoordeeld dat het Unierecht zich verzet in de eerste plaats „tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeers- en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen” en in de tweede plaats „tegen een nationale regeling die de bescherming en de beveiliging van de verkeers- en de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van de criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van zware criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard” (dictum 1 en 2).


5      PB 2002, L 201, blz. 37.


6      Richtlijn van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11).


7      Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).


8      In het bijzonder overeenkomstig artikel 8 EVRM, dat als volgt luidt:
„1. Eenieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”


9      PB 2002, L 108, blz. 33.


10      BOE nr. 251 van 19 oktober 2007, blz. 42517.


11      Dit blijkt uit zowel de considerans als de belangrijkste bepalingen van deze wet, waarvan de bewoordingen identiek zijn aan die van de overeenkomstige bepalingen van richtlijn 2006/24.


12      BOE nr. 239 van 6 oktober 2015, blz. 90192.


13      Het IMEI-nummer („International Mobile Equipment Identity”) is een uniek 15-cijferig identificatienummer voor mobiele apparaten dat meestal in het batterijcompartiment, op de verpakking en op de aankoopfactuur van een mobiele telefoon is vermeld.


14      De Spaanse regering heeft gepreciseerd dat het verzoek vier telefoniebedrijven betrof en dat, ingeval het IMEI-nummer het telefonienetwerk van een van deze bedrijven zou hebben gebruikt terwijl het beheer van het betrokken netwerk in handen was van een virtuele aanbieder van mobiele-telefoniediensten, ook de door deze virtuele aanbieder verzamelde betrokken gegevens zouden moeten worden verstrekt.


15      Zie de bepalingen die zijn aangehaald in de punten 13 en 14 van deze conclusie.


16      Zie het arrest van de Sala de lo Penal (strafkamer) van 26 juli 2010 (nr. 745/2010, ES:TS:2010:4200) op het volgende internetadres: http://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=5697924&links=&optimize=20100812&publicinterface=true


17      Zie de punten 15 e.v. van deze conclusie. Volgens de verwijzende rechter is deze herziening kennelijk relevant voor het verzoek om een prejudiciële beslissing. De Spaanse regering heeft ter terechtzitting aangegeven dat de nieuwe wet in casu van toepassing was.


18      Te weten terroristische delicten en delicten gepleegd door een criminele groep of organisatie.


19      Zie voetnoot 4 van deze conclusie.


20      Zie punt 103 van het arrest Tele2, waarin „georganiseerde misdaad en terrorisme” worden genoemd. Ik wijs erop dat deze twee voorbeelden ook voorkomen in de punten 24 en 51 van het arrest Digital Rights, met een duidelijke verwijzing naar de overwegingen 7 tot en met 10 van richtlijn 2006/24, die bij dat arrest ongeldig is verklaard.


21      De verwijzende rechter noemt in het bijzonder punt 60 van het arrest Digital Rights, waarin het Hof vaststelt dat richtlijn 2006/24 „geen objectieve criteria [bevat] ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan met het oog op het voorkomen, opsporen of strafrechtelijk vervolgen van inbreuken die, gelet op de omvang en de ernst van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten, voldoende ernstig kunnen worden geacht om een dergelijke inmenging te rechtvaardigen. Integendeel, richtlijn 2006/24 verwijst in artikel 1, lid 1, ervan enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten.”


22      Zie in dit verband met name de voetnoten 3 en 4 van deze conclusie.


23      Mijns inziens zijn de in dat verzoek bedoelde „houders of gebruikers” per definitie geregistreerde, of in ieder geval identificeerbare, abonnees (zie ook voetnoot 25 van deze conclusie) en gaat het hier niet om personen die een SIM-kaart hebben gekocht zonder sporen na te laten.


24      Zie punt 20 van deze conclusie.


25      Overeenkomstig de definitie in artikel 2, onder a), van richtlijn 95/46, waarnaar artikel 2 van richtlijn 2002/58 verwijst, wordt onder het begrip „persoonsgegevens” „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” verstaan met dien verstande dat „als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit”. Het Hof heeft reeds geoordeeld dat „de eerbiediging van het recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon betreft” (zie met name arrest van 17 oktober 2013, Schwarz, C‑291/12, EU:C:2013:670, punt 26) en dat „de werkingssfeer van richtlijn 95/46 zeer ruim” is (zie met name arrest van 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punt 33).


26      Volgens de Spaanse regering is niet uitdrukkelijk om het adres van de betrokkenen verzocht.


27      Informatie zoals burgerlijke staat, nummer van de nationale identiteitskaart, bankgegevens en gegevens van een eventueel telefoonabonnement.


28      Gegevens die betrekking zouden kunnen hebben op de telefoonnummers gebruikt bij de inkomende en uitgaande oproepen, alsook op de datum, duur en frequentie van de communicatie of zelfs op de inhoud ervan. De Spaanse regering preciseert dat in casu de politieambtenaren uitdrukkelijk hebben aangegeven dat zij met hun verzoek geen gegevens wilden verkrijgen die worden beschermd door het communicatiegeheim.


29      Dat wil zeggen dat deze gegevens dankzij de enkele activering van het betrokken mobiele apparaat zouden kunnen worden verkregen, ongeacht of het apparaat nadien al dan niet door de houder is gebruikt tijdens een specifiek communicatieproces met andere personen.


30      Zie de punten 74 e.v. van deze conclusie.


31      Ter verduidelijking merk ik op dat de toegang tot persoonsgegevens op zich mijns inziens geen minder groot risico voor de in de artikelen 7 en 8 van het Handvest neergelegde fundamentele rechten vormt dan de bewaring van dergelijke gegevens. Men zou zelfs kunnen stellen dat de risico’s groter zijn, voor zover met de toegang tot bewaarde gegevens het potentieel schadelijke gebruik ervan wordt geconcretiseerd.


32      De Spaanse regering geeft aan dat het in Spanje wettelijk is toegestaan om de voornaam, achternaam en eventueel het adres van een SIM-kaarthouder te bewaren. Uit artikel 1 en artikel 3, lid 1, onder a), punt 1, ii), van wet 25/2007 (zie de punten 10 e.v. van deze conclusie) blijkt immers dat de mobiele-telefonieaanbieders verplicht zijn om de gegevens die in verband met hun dienstverrichtingen zijn gegenereerd of verwerkt, te bewaren, met name de naam en het adres van geregistreerde abonnees of gebruikers, voor zover deze gegevens nodig zijn om de bron van een communicatie te traceren en te identificeren. Soortgelijke vereisten zijn gesteld in artikel 3 en artikel 5, lid 1, onder a), punt 1, ii), van richtlijn 2006/24, die bij bovengenoemde wet is omgezet.


33      Deze omstandigheid is ook door het Hof genoemd in het arrest van 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punt 45 in fine).


34      Zie in die zin arrest van 19 april 2012, Bonnier Audio e.a.(C‑461/10, EU:C:2012:219, punt 37).


35      Zie, in het bijzonder aangaande de bevoegdheid van het Hof en de beantwoording van de eerste prejudiciële vraag, de punten 43 e.v. respectievelijk de punten 70 e.v. van deze conclusie.


36      Zie met name arrest van 16 mei 2017, Berlioz Investment Fund (C‑682/15, EU:C:2017:373, punt 49 en aldaar aangehaalde rechtspraak).


37      Zie met name arrest van 6 oktober 2016, Paoletti e.a. (C‑218/15, EU:C:2016:748, punten 14 e.v.).


38      Zie met name arrest van 1 december 2016, Daouidi (C‑395/15, EU:C:2016:917, punt 63).


39      Volgens de Spaanse regering gaat het om de uitoefening van de strafrechtelijke actie (ius puniendi) door de staat. Zie dienaangaande de conclusie van advocaat-generaal Campos Sánchez-Bordona in de zaak Breyer (C‑582/14, EU:C:2016:339, punten 86‑92).


40      De beginselen die in deze bepalingen zijn opgenomen, worden ook genoemd in overweging 11 van richtlijn 2002/58, die verwijst naar artikel 15, lid 1, van deze richtlijn (zie de punten 6 en 7 van deze conclusie).


41      Zie de punten 72‑81 van het arrest Tele2. Zie dienaangaande ook mijn conclusie in de gevoegde zaken Tele2 Sverige e.a. (C‑203/15 en C‑698/15, EU:C:2016:572, punten 88‑97 en 124).


42      Zie in het bijzonder artikel 1, lid 1, van wet 25/2007 en artikel 579, lid 1, van het wetboek van strafvordering, die worden aangehaald in de punten 11 en 17 van deze conclusie, alsook punt 40 van deze conclusie, aangaande de wettelijke verplichting die op de betrokken aanbieders rust.


43      De zogeheten „klassieke” activiteiten van de staat hebben betrekking op functies die aan de staat of aan de verschillende overheidsdiensten zijn voorbehouden en die niet aan privaatrechtelijke entiteiten kunnen worden gedelegeerd. In het bijzonder zijn dit de activiteiten die verband houden met justitie, politie en leger.


44      Zoals de gegevens die door politie en justitie worden verwerkt voor de opsporing van daders van strafbare feiten (bijvoorbeeld de gegevens die door de politie, op verzoek van een onderzoeksrechter, worden verzameld en geanalyseerd tijdens het aftappen van telefoongesprekken).


45      Bijvoorbeeld de contactgegevens van gebruikers van een telefoniedienst die voor een strafrechtelijk onderzoek worden gebruikt, zoals in het hoofdgeding.


46      Zie de verwijzingsbeslissing in de aanhangige zaak Privacy International (C‑623/17), waarin met name wordt verwezen naar de arresten van 30 mei 2006, Parlement/Raad en Commissie (C‑317/04 en C‑318/04, EU:C:2006:346, punten 56‑59), en 10 februari 2009, Ierland/Parlement en Raad (C‑301/06, EU:C:2009:68, punten 88 en 91), waaruit zou blijken dat de verwerking van de gegevens van vliegtuigpassagiers waarover het gaat in eerstgenoemde arrest, niet noodzakelijk was voor een dienstverrichting, maar voor het waarborgen van de openbare veiligheid, en dientengevolge niet binnen de werkingssfeer viel van richtlijn 95/46.


47      Aangezien, ten eerste, het hoofdgeding geen betrekking heeft op de overdracht van gegevens op grote schaal, maar op een gerichte gegevensoverdracht en, ten tweede, de overwegingen van het Hof in het arrest Tele2 mijns inziens in casu kunnen worden toegepast, zoals ik heb aangegeven in punt 46 van deze conclusie.


48      Zie de punten 33 e.v. van deze conclusie.


49      Zie met name artikel 1, lid 2, van wet 25/2007 en artikel 579, lid 1, van het wetboek van strafvordering.


50      Met hun verzoek beogen de politieautoriteiten immers niet de geografische locatie te achterhalen van het gestolen apparaat of van de personen die het apparaat in hun bezit hebben gehad, maar uitsluitend de identiteit van deze personen.


51      De bepalingen van artikel 2 van richtlijn 2002/58 zijn aangehaald in punt 8 van deze conclusie.


52      Deze verkeersgegevens zijn geregeld in artikel 6 van richtlijn 2002/58.


53      Zie punt 36 van deze conclusie.


54      Een elektronische-communicatiedienst is volgens de definitie in artikel 2, onder c), van richtlijn 2002/21 (waarbij het gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten is vastgesteld) „een gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische-communicatienetwerken […]”.


55      Dat de verwerking van gegevens noodzakelijk kan zijn voor de facturering van de dienst, in het bijzonder als het abonnees betreft, blijkt uit meerdere bepalingen van richtlijn 2002/58 [met name uit de overwegingen 26, 27 en 29; uit artikel 2, tweede alinea, onder g), alsook uit artikel 6, leden 2 en 5]. Zie in dit verband ook punt 86 en aldaar aangehaalde rechtspraak van het arrest Tele2.


56      In deze artikelen worden respectievelijk de „verwerking van persoonsgegevens in de sector elektronische communicatie” en de „verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten” in algemene zin beoogd.


57      Zie de overwegingen 2, 7 en 11 alsook artikel 1, lid 1, en artikel 15, lid 3, van richtlijn 2002/58.


58      Zie overweging 21 alsook artikel 1, lid 1, en artikel 5 van richtlijn 2002/58. In dit laatste artikel is specifiek de vertrouwelijkheid van de communicatie geregeld.


59      Zie arrest van 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punten 29‑31 en punt 45).


60      Zie, aangaande de uitlegging van artikel 12, met name arrest van 15 maart 2017, Tele2 (Netherlands) e.a. (C‑536/15, EU:C:2017:214, punten 33 e.v. en aldaar aangehaalde rechtspraak).


61      Volgens de bewoordingen van overweging 15 kan een communicatie „naamgevings-, nummerings- of adresseringsgegevens omvatten die door de verzender van een communicatie of door de gebruiker van een verbinding worden verstrekt om de communicatie tot stand te brengen”.


62      Het begrip gegevens met betrekking tot het „privéleven” in de zin van artikel 8 EVRM (dat wordt aangehaald in voetnoot 8 van deze conclusie) wordt door het EHRM ruim uitgelegd (zie met name EHRM, 13 februari 2018, Ivashchenko tegen Rusland, CE:ECHR:2018:0213JUD006106410, §§ 63 e.v.), hetgeen al is opgemerkt (zie arrest van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punt 59 en aldaar aangehaalde rechtspraak van het EHRM).


63      Zie de overwegingen 3, 11 en 24 van richtlijn 2002/58.


64      Zie met name het arrest Tele2 (punt 120, naar analogie van de rechtspraak van het EHRM, alsook de punten 126 e.v., waarin de relatie tussen de Unie en het EHRM in herinnering wordt gebracht).


65      Richtlijn 2002/58 regelt daarentegen de particuliere sector elektronische communicatie (zie met name de overwegingen 4 en 10 alsook artikel 1, leden 1 en 2, van deze richtlijn).


66      In dit verband zij eraan herinnerd dat het begrip „ernstige criminaliteit” als criterium ter begrenzing van het optreden van de lidstaten is ingevoerd bij richtlijn 2006/24 betreffende de bewaring van gegevens, die ongeldig is verklaard in het arrest Digital Rights. Het Hof heeft dit begrip vervolgens in het arrest Tele2 gebruikt om de bepalingen van richtlijn 2002/58 uit te leggen in de context van nationale regelingen betreffende de bewaring van en de toegang tot gegevens (zie ook de voetnoten 3 en 4 van deze conclusie). Indien richtlijn 2002/58 in casu niet van toepassing zou worden verklaard, zou het mijns inziens niet nodig zijn om gevolg te geven aan het verzoek van de verwijzende rechter om dat begrip uit te leggen.


67      Zie met name arresten van 16 juni 2015, Gauweiler e.a. (C‑62/14, EU:C:2015:400, punten 24 en 25), en 22 februari 2018, Porras Guisado (C‑103/16, EU:C:2018:99, punt 34).


68      Zie ook punt 44 van deze conclusie.


69      Zie ook het arrest Tele2 (punt 82).


70      Zie ook punt 10 van deze conclusie. Ik merk op dat de situatie vergelijkbaar was met een van de zaken die heeft geleid tot het arrest Tele2 (zie de punten 15 en 63).


71      Zie, wat deze laatste vaststelling betreft, de punten 45 e.v. van deze conclusie.


72      Zie ook punt 71 van deze conclusie.


73      Zie de punten 36 en 52 van deze conclusie.


74      Zie, over de niet-ernstige aard van de in casu veroorzaakte inmenging, de punten 74 e.v. van deze conclusie.


75      Zie met name het arrest Digital Rights (punten 26 e.v.), alsook advies 1/15 (PNR-Overeenkomst EU‑Canada) van 26 juli 2017 (EU:C:2017:592, punt 124 en aldaar aangehaalde rechtspraak).


76      Zie de punten 24, 41, 42, 49 en 60 van het arrest Digital Rights.


77      Zie de punten 51, 57‑59 en 61 van het arrest Digital Rights.


78      Zoals ik hiervoor heb opgemerkt, wordt in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 uitsluitend de uitdrukking „strafbare feiten” gebruikt.


79      Zie, voor het letterlijke begrip, overweging 21 en artikel 1, lid 1, van richtlijn 2006/24. In overweging 9 van richtlijn 2006/24 wordt het begrip „ernstige aangelegenheden” gebruikt.


80      Zie de punten 51, onder 1), 102, 114 en 125 van het arrest Tele2 voor het begrip „ernstige criminaliteit”, en de punten 103, 108, 110, 111 en 118 van dit arrest voor het begrip „zware criminaliteit”.


81      Te weten artikel 15, lid 1, van richtlijn 2002/58 op grond waarvan de lidstaten een maatregel kunnen treffen die afwijkt van het beginsel van vertrouwelijkheid van de communicatie en van de daarmee verband houdende verkeersgegevens, wanneer een dergelijke maatregel in een democratische samenleving noodzakelijk, redelijk en proportioneel is in het licht van de in die bepalingen genoemde doelstellingen.


82      Waarbij moet worden opgemerkt dat de tweede vraag louter subsidiair is gesteld.


83      Volgens vaste rechtspraak is het de taak van het Hof om in voorkomend geval de aan hem voorgelegde vragen te herformuleren, teneinde de verwijzende rechter een nuttig antwoord te geven aan de hand waarvan hij het bij hem aanhangige geding kan beslechten (zie met name arrest van 22 februari 2018, SAKSA, C‑185/17, EU:C:2018:108, punt 28).


84      De Spaanse regering heeft benadrukt dat op basis van de gegevens die het voorwerp zijn van het hoofdgeding bijvoorbeeld niet het profiel van de betrokken persoon kan worden vastgesteld.


85      Zie de punten 35‑37 van deze conclusie.


86      Ik merk nogmaals op dat in artikel 8 van richtlijn 95/46 de bijzondere regels zijn neergelegd betreffende de verwerking van „persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen”. Zie voor het begrip „gevoelige gegevens” en de verwerking ervan het Handboek Europese gegevensbeschermingswetgeving, dat tot stand is gekomen onder de auspiciën van het Bureau van de Europese Unie voor de grondrechten en de Raad van Europa, 2014, blz. 48 e.v. en blz. 100 e.v. De geactualiseerde Franstalige versie van dit handboek is toegankelijk op https://www.coe.int/fr/web/data‑protection/home


87      De gevoeligheid van bepaalde gegevens wordt uitsluitend genoemd in overweging 25 van richtlijn 2002/58, zonder dat hieruit kan worden opgemaakt of het om een algemeen vereiste gaat.


88      Zie de mededeling van de Commissie betreffende de bescherming van personen in verband met de behandeling van persoonsgegevens in de Gemeenschap en betreffende de beveiliging van informatiesystemen [COM(90) 314 def. van 13 september 1990, blz. 20].


89      Zie advies 1/15 (PNR-Overeenkomst EU‑Canada) van 26 juli 2017 (EU:C:2017:592, punt 124 en aldaar aangehaalde rechtspraak). In die zin heeft ook het EHRM in eerdere rechtspraak geoordeeld (zie EHRM, 16 februari 2000, Amann tegen Zwitserland, CE:ECHR:2000:0216JUD002779895, §§ 68‑70).


90      Zie punt 68 van deze conclusie. Zie ook EHRM, 8 februari 2018, Ben Faiza tegen Frankrijk (CE:ECHR:2018:0208JUD003144612, §§ 66‑68), inzake een gerechtelijk bevel tot verstrekking van gegevens betreffende het gebruik van een telefoon.


91      In de volgende bewoordingen: „het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten”.


92      Zie in die zin advies 1/15 (PNR-Overeenkomst EU‑Canada) van 26 juli 2017 (EU:C:2017:592, punt 126 en aldaar aangehaalde rechtspraak).


93      Punt 57 van het arrest Digital Rights. Zie, wat de bijzondere ernst van de betrokken inmenging betreft, ook de punten 37, 39, 47, 48, 60 en 65 van dat arrest.


94      Dictum 1 van het arrest Tele2.


95      Volgens de bewoordingen in punt 102 van het arrest Tele2 kan „[g]elet op de ernst van de ingreep in de betrokken grondrechten door een nationale regeling die ter bestrijding van criminaliteit voorziet in de bewaring van verkeersgegevens en van locatiegegevens, […] alleen de bestrijding van ernstige criminaliteit een dergelijke maatregel rechtvaardigen [zie naar analogie, met betrekking tot richtlijn 2006/24, het arrest Digital Rights, punt 60 (waarin de zinssnede ,gelet op de omvang en de ernst van de inmenging’ was opgenomen)]” (cursivering van mij). In punt 115 van het arrest Tele2 is deze redenering overgenomen en toegepast op de toegang tot dergelijke gegevens. Zie, wat de bijzondere ernst van de betrokken inmenging betreft, ook de punten 97 en 100 van dat arrest.


96      Zo wordt in punt 115 van het arrest Tele2 benadrukt dat „aangezien het met [een nationale regeling die een uitzondering maakt op het beginsel van de vertrouwelijkheid van de elektronische communicatie] nagestreefde doel in verhouding moet staan tot de ernst van de ingreep in de grondrechten die deze toegang meebrengt, ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten alleen de bestrijding van zware criminaliteiteen dergelijke toegang tot de bewaarde gegevens kan rechtvaardigen” (cursivering van mij).


97      Dat Hof heeft immers herhaaldelijk de noodzaak benadrukt om een juist evenwicht te vinden tussen enerzijds het belang dat een staat heeft om de nationale veiligheid te waarborgen met behulp van maatregelen die gevolgen hebben voor persoonsgegevens, en anderzijds de ernst van de schending van het recht op privéleven van personen, waarbij deze twee factoren afhankelijk zijn van de beoordelingsmarge van de staat, in het bijzonder als de staat ernstige criminaliteit wil voorkomen of vervolgen (zie EHRM, 26 maart 1987, Leander tegen Zweden, CE:ECHR:1987:0326JUD000924881, § 59;EHRM, 26 juni 2006, Weber en Saravia tegen Duitsland, CE:ECHR:2006:0629DEC005493400, §§ 106, 125 en 126, en EHRM, 4 december 2015, Roman Zakharov tegen Rusland, CE:ECHR:2015:1204JUD004714306, §§ 232 en 244).


98      Zie de punten 32 e.v. van deze conclusie.


99      Ik wijs erop dat het Hof ook in advies 1/15 (PNR-Overeenkomst EU‑Canada) van 26 juli 2017 (EU:C:2017:592, met name punten 194 en 207‑209) het noodzakelijke karakter heeft beoordeeld van de inmengingen die voortvloeiden uit de voorgenomen overeenkomst, door de hierin voorziene wijze van gebruik en bewaring van gegevens te onderzoeken, met name vanuit het oogpunt van de bijzondere context, de aard en de duur van deze maatregelen.


100      Hiervan zou sprake zijn als bijvoorbeeld de identiteit van de personen in een persbericht of op een website zou worden vrijgegeven.


101      Zie in die zin het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Convention on Cybercrime) dat onder auspiciën van de Raad van Europa op 23 november 2001 in Boedapest is gesloten, en dat door alle lidstaten van de Unie is ondertekend (te raadplegen op het volgende internetadres: https://www.coe.int/en/web/conventions/full‑list/‑/conventions/treaty/185?_coeconventions_WAR_coeconventionsportlet_languageId=fr_FR). Artikel 18 van dit Verdrag voorziet in de verplichting tot vaststelling van wettelijke maatregelen op grond waarvan de bevoegde autoriteiten de mogelijkheid hebben om een dienstenaanbieder te gelasten aan hen de gegevens van abonnees te verstrekken, zoals „de identiteit, het adres […] en het telefoonnummer” die in het bezit zijn van de aanbieder.


102      Zoals de Deense regering terecht heeft opgemerkt, is het inwinnen door de politie, zoals in casu, van de naam en het adres van de eigenaar van een bij een delict gebruikte SIM-kaart niet fundamenteel anders dan bijvoorbeeld het inwinnen van de gegevens van de eigenaar van een voertuig dat is gebruikt om een strafbaar feit te plegen.


103      In tegenstelling tot de bijzonder ingrijpende informatie, met name in verband met het traceren van de communicatie en het profiel van de betrokken personen, waarover het ging in de zaken die hebben geleid tot de arresten Digital Rights (zie de punten 26‑29 en 37) en Tele2 (zie de punten 97‑100).


104      Zie met name de punten 90 en 115 van het arrest Tele2.


105      Cursivering van mij.


106      Dat wil zeggen ingeval het Hof zou overwegen ofwel dat de inmenging in het hoofdgeding voldoende ernstig is opdat wordt geantwoord op de eerste vraag zoals die is geformuleerd door de verwijzende rechter, ofwel dat het dienaangaande niet van belang is dat deze inmenging niet ernstig is.


107      Zie punt 71 van deze conclusie.


108      In artikel 1, lid 1, van richtlijn 2006/24 was bepaald dat deze richtlijn tot doel had „een harmonisatie tot stand te brengen van de nationale bepalingen van de lidstaten waarbij aan aanbieders van elektronische-communicatiediensten of een openbaar communicatienetwerk verplichtingen worden opgelegd […] teneinde te garanderen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten” (cursivering van mij). Zie ook overweging 21 van deze richtlijn.


109      Zie met name arresten van 15 september 2011, Dickinger en Ömer (C‑347/09, EU:C:2011:582, punt 31), en 6 december 2011, Achughbabian (C‑329/11, EU:C:2011:807, punt 33).


110      Zie dienaangaande tevens punt 112 van deze conclusie.


111      Zie, over het dynamische karakter van ernstige criminaliteit, eveneens mijn conclusie in de gevoegde zaken Tele2 Sverige e.a. (C‑203/15 en C‑698/15, EU:C:2016:572, punt 214).


112      Ter illustratie verwijs ik naar een verslag van de Commissie van 7 juli 2016 over de bestrijding van georganiseerde criminaliteit, waaruit blijkt dat er aanzienlijke onderlinge verschillen bestaan tussen de straffen die in de lidstaten zijn gesteld op het strafbare feit deelneming aan een criminele organisatie (van drie maanden tot zeventien jaar gevangenisstraf) [zie verslag van de Commissie aan het Europees Parlement en de Raad op grond van artikel 10 van kaderbesluit 2008/841/JBZ van de Raad van 24 oktober 2008 ter bestrijding van georganiseerde criminaliteit, COM(2016) 448 final, blz. 7, punt 2.1.4.1].


113      Zoals de Deense regering heeft opgemerkt, kent Denemarken weliswaar minder zware straffen dan andere lidstaten, maar dit betekent niet dat het strafbaar feit niet als bijzonder ernstig wordt beschouwd. Zo staat op het bezit van kinderpornografisch materiaal een gevangenisstraf van een jaar, terwijl in andere lidstaten voor ditzelfde vergrijp in gevangenisstraffen tot wel tien jaar is voorzien. Toch doet dit niets af aan de constatering dat dit strafbare feit naar zijn aard bijzonder ernstig is.


114      Zie met name arrest van 22 mei 2012, I. (C‑348/09, EU:C:2012:300, punten 21‑23), waarin het Hof heeft vastgesteld dat „het recht van de Unie de lidstaten met betrekking tot de beoordeling van gedragingen die in strijd met de openbare veiligheid kunnen worden geacht, geen uniforme waardeschaal oplegt”, en de lidstaten vrij blijven „om de eisen van de openbare orde en de openbare veiligheid af te stemmen op hun nationale behoeften, die per lidstaat en per tijdsgewricht kunnen verschillen”, maar die eisen „met name omdat zij een afwijking van het fundamentele beginsel van vrij verkeer van personen rechtvaardigen, restrictief [moeten] worden opgevat, zodat de inhoud ervan niet eenzijdig door de onderscheiden lidstaten kan worden bepaald zonder controle door de instellingen van de Europese Unie”.


115      Zie in die zin de punten 89 e.v. van het arrest Tele2, aangaande de principeverplichting om de vertrouwelijkheid van de communicatie en van de bijbehorende verkeersgegevens te waarborgen.


116      Hierbij preciseer ik dat de Tsjechische en de Estse regering voorstellen om in wezen te antwoorden dat het mogelijk is om uitsluitend de voorgeschreven straf in beschouwing te nemen om de voldoende ernst van strafbare feiten vast te stellen als criterium ter rechtvaardiging van de inmenging in de fundamentele rechten die zijn neergelegd in de artikelen 7 en 8 van het Handvest. Desalniettemin stellen deze regeringen zich op het standpunt dat iedere lidstaat vrij moet zijn om daarnaast, indien hij dit nodig acht, andere objectieve criteria te bepalen, waarin de bijzonderheden van de rechtsorde van de betreffende lidstaat tot uitdrukking komen.


117      Ik deel het standpunt van de Franse regering dat schendingen van de fundamentele belangen van de natie, de instellingen of de integriteit van het nationale grondgebied, naar hun aard, vanzelfsprekend binnen de categorie „ernstige criminaliteit” vallen, maar dat ook andere typen strafbare feiten hierin zouden moeten worden ondergebracht, zoals aanslag op het leven, lichamelijke en psychische geweldpleging en aanranding van de persoonlijke waardigheid, alsook aanslagen op goederen die belangrijke vermogensschade voor het slachtoffer meebrengen, of seriematige, terugkerende schendingen van de openbare orde. Aangaande dit laatste punt noemt de Hongaarse regering ook de mogelijkheid om uitzonderlijke veelpleging van bepaalde strafbare feiten als criminaliteit op nationaal niveau te beschouwen.


118      Zie dienaangaande ook punt 98 van deze conclusie.


119      Overeenkomstig artikel 8, lid 2, EVRM kan een dergelijke inmenging uitsluitend worden gerechtvaardigd indien hierin is voorzien door de wet, de inmenging één of meerdere in dit lid genoemde legitieme doelen dient en de inmenging in een democratische samenleving noodzakelijk is om dit doel of deze doelen te realiseren.


120      Het EHRM heeft geoordeeld dat de betrokken strafbare feiten voor burgers eenvoudig herkenbaar moeten zijn, zonder dat dit voorspelbaarheidsvereiste de staten verplicht om de strafbare feiten die tot een dergelijke maatregel kunnen leiden uitputtend te bepalen (zie met name EHRM, 4 december 2015, Roman Zakharov tegen Rusland, CE:ECHR:2015:1204JUD004714306, § 244).


121      Zie met name EHRM, 26 juni 2006, Weber en Saravia tegen Duitsland (CE:ECHR:2006:0629DEC005493400, §§ 106 en 115); EHRM, 4 december 2008, Marper tegen Verenigd Koninkrijk (CE:ECHR:2008:1204JUD003056204, §§ 104 en 119), en EHRM, 30 mei 2017, Trabajo Rueda tegen Spanje (CE:ECHR:2017:0530JUD003260012, §§ 39 en 40).


122      Zie de punten 15 e.v. van deze conclusie.


123      Zie de punten 93 e.v. van deze conclusie.


124      Hierbij zij in herinnering gebracht dat artikel 83, lid 1, VWEU voorziet in de vaststelling van minimumvoorschriften „betreffende de bepaling van strafbare feiten en sancties in verband met vormen van bijzonder zware criminaliteit met een grensoverschrijdende dimensie […]”, welke vormen van criminaliteit in dit artikel worden genoemd.


125      Richtlijn van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van kaderbesluit 2004/68/JBZ van de Raad (PB 2011, L 335, blz. 1), waarvan artikel 3 voorziet in minimumgevangenisstraffen van één tot tien jaar voor de diverse typen „strafbare feiten op het gebied van seksueel misbruik” die in dit artikel worden bedoeld.


126      Richtlijn van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van besluit 2005/671/JBZ van de Raad (PB 2017, L 88, blz. 6), waarvan artikel 15, lid 3, voorziet in vrijheidsstraffen die niet lager dan acht of vijftien jaar mogen zijn, naargelang van de verschillende typen „misdrijven in verband met een terroristische groepering” die in artikel 4 van diezelfde richtlijn worden bedoeld.


127      Zie ook punt 101 van deze conclusie.


128      Zie dienaangaande punt 98 van deze conclusie.


129      Zie met name overweging 11 en artikel 15, lid 1, van richtlijn 2002/58, alsook de punten 94‑96 en 116 van het arrest Tele2.


130      Zie met name, naast de in de voetnoten 125 en 126 van deze conclusie bedoelde bepalingen, richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB 2016, L 119, blz. 132), waarvan artikel 3, punt 9 „ernstige criminaliteit” definieert als „de in bijlage II bedoelde strafbare feiten, waarop in het nationale recht van een lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van ten minste drie jaar staat”.


131      Zie punt 97 van deze conclusie.


132      Zie punt 101 van deze conclusie.


133      Deze herziening is besproken in de punten 15 e.v. van deze conclusie.


134      Zie ook punt 115 van deze conclusie.


135      Zie in die zin EHRM, 18 mei 2010, Kennedy tegen Verenigd Koninkrijk (CE:ECHR:2010:0518JUD002683905, §§ 34 en 159), en EHRM, 4 december 2015, Roman Zakharov tegen Rusland (CE:ECHR:2015:1204JUD004714306, § 244).


136      Zie punt 106 van deze conclusie.


137      Zie met name EHRM, 6 september 1978, Klass e.a. tegen Duitsland (CE:ECHR:1978:0906JUD000502971, § 49), en EHRM, 18 mei 2010, Kennedy tegen Verenigd Koninkrijk (CE:ECHR:2010:0518JUD002683905, §§ 153 en 154).


138      Zie EHRM, 10 februari 2009, Iordachi e.a. tegen Moldavië (CE:ECHR:2009:0210JUD002519802, § 44), waarin is vastgesteld dat de Moldavische wetgeving onvoldoende duidelijk was, met name op grond dat meer dan de helft van de in het wetboek van strafrecht bepaalde strafbare feiten behoorde tot de categorie strafbare feiten die het aftappen van telefoongesprekken mogelijk maakte. Zie ook EHRM, 4 december 2015, Roman Zakharov tegen Rusland (CE:ECHR:2015:1204JUD004714306, § 248).