Language of document : ECLI:EU:C:2020:7

Foreløbig udgave

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. CAMPOS SÁNCHEZ-BORDONA

fremsat den 15. januar 2020 (1)

Sag C-520/18

Ordre des barreaux francophones et germanophone,

Académie Fiscale ASBL,

UA,

Liga voor Mensenrechten ASBL,

Ligue des Droits de l’Homme ASBL,

VZ,

WY,

XX

mod

Conseil des ministres

procesdeltager:

Child Focus

(anmodning om præjudiciel afgørelse indgivet af Cour constitutionnelle (forfatningsdomstol, Belgien))

»Præjudiciel forelæggelse – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58/EF – anvendelsesområde – artikel 1, stk. 3 – artikel 15, stk. 1 – artikel 4, stk. 2, TEU – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 4, 6, 7, 8 og 11 samt artikel 52, stk. 1 – pligt vedrørende generel og udifferentieret lagring af trafik- og lokaliseringsdata – effektiviteten af strafferetlig efterforskning og andre mål af offentlig interesse«






1.        Domstolen har de senere år opretholdt en fast praksis med hensyn til lagring af og adgang til personoplysninger, i hvilken forbindelse følgende domme fremhæves som milepæle:

–      dom af 8. april 2014, Digital Rights Ireland m.fl. (2), hvorved Domstolen fastslog, at direktiv 2006/24/EF (3) var ugyldigt, for så vidt som det tillod et uforholdsmæssigt indgreb i de rettigheder, som er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder

–      dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (4), hvorved Domstolen fortolkede artikel 15, stk. 1, i direktiv 2002/58/EF (5)

–      dom af 2. oktober 2018, Ministerio Fiscal (6), hvorved Domstolen bekræftede fortolkningen af førnævnte bestemmelse i direktiv 2002/58.

2.        Disse domme (især den anden) bekymrer myndighederne i visse medlemsstater, eftersom de efter disse myndigheders opfattelse fratager dem et instrument, som de anser for nødvendigt for at beskytte den nationale sikkerhed og bekæmpe kriminalitet og terrorisme. Derfor har nogle af disse medlemsstater opfordret til, at denne retspraksis ændres eller nuanceres.

3.        Visse af medlemsstaternes domstole har givet udtryk for samme bekymring i fire anmodninger om præjudiciel afgørelse (7), med hensyn til hvilke jeg også fremsætter mit forslag til afgørelse i dag.

4.        De fire sager rejser først og fremmest en problemstilling i forbindelse med anvendelsen af direktiv 2002/58 på aktiviteter, der er forbundet med den nationale sikkerhed og bekæmpelsen af terrorisme. Hvis dette direktiv finder anvendelse i denne sammenhæng, må det i det følgende afklares, i hvilket omfang medlemsstaterne kan begrænse den ret til privatlivets fred, som direktivet beskytter. Endelig skal det undersøges, i hvilket omfang de forskellige nationale lovgivninger (den britiske (8), den belgiske (9) og den franske (10)) på dette område er i overensstemmelse med EU-retten som fortolket af Domstolen.

5.        Da Cour constitutionnelle (forfatningsdomstol, Belgien) blev bekendt med Digital Rights-dommen, annullerede den den nationale lovgivning, som delvist havde gennemført direktiv 2006/24, som blev erklæret ugyldigt i nævnte dom, i national ret. Den belgiske lovgiver vedtog derefter en ny lovgivning, hvorom der nu er opstået tvivl om, hvorvidt den er forenelig med EU-retten som følge af dommen i sagen Tele2 Sverige og Watson.

6.        En særlig omstændighed ved denne anmodning om præjudiciel afgørelse er, at den nævner muligheden for midlertidigt at opretholde virkningerne af en national bestemmelse, som de nationale retter må annullere, idet den er uforenelig med EU-retten.

I.      Retsforskrifter

A.      EU-retten

7.        I følgende afsnit henviser jeg til mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18.

B.      National ret. Loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (11)

8.        Artikel 4 bestemmer, at artikel 126 i loi du 13 juin 2005 relative aux communications électroniques (12) skal affattes således:

»1.      Uden at det berører loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [lov af 8.12.1992 om beskyttelse af privatlivets fred i forbindelse med behandling af personoplysninger] skal udbydere af telefontjenester til offentligheden, herunder IP-telefoni, internetadgang, e-mailtjenester, operatører, der udbyder offentlige elektroniske kommunikationsnet, samt operatører, der udbyder en af disse tjenester, lagre de data, der er omhandlet i stk. 3, der genereres eller behandles af disse i forbindelse med levering af de pågældende elektroniske kommunikationstjenester.

Denne artikel omfatter ikke indholdet af kommunikationen.

[...]

2.      Det er alene følgende myndigheder, der har ret til efter anmodning at indhente de data, der lagres i henhold til denne artikel, fra de i stk. 1, første afsnit, nævnte udbydere og operatører til de formål og på de betingelser, der er opregnet nedenfor:

1.      retslige myndigheder med henblik på undersøgelse, efterforskning og retsforfølgning af lovovertrædelser, med henblik på gennemførelse af de foranstaltninger, der er omhandlet i artikel 46a og 88a i Code d’instruction criminelle [strafferetsplejeloven], og på de betingelser, der er fastsat i disse artikler

2.      efterretnings- og sikkerhedstjenester med henblik på at udføre deres efterretningsopgaver under anvendelse af de metoder for indsamling af data, der er omhandlet i artikel 16/2, 18/7 og 18/8 i loi du 30 novembre 1998 organique des services de renseignement et de Sécurité (13)] og under overholdelse af de betingelser, der er fastsat i denne lov

3.      retshåndhævelsespersonale ved instituttet [Institut belge des services postaux et des télécommunications (det belgiske institut for posttjenester og telekommunikation)] med henblik på undersøgelse, efterforskning og retsforfølgning af overtrædelser af [netsikkerhedsreglerne] og nærværende artikel

4.      beredskabstjenester, der yder hjælp på stedet, såfremt de efter et alarmopkald ikke fra den pågældende udbyder eller operatør kan få identifikationsoplysninger for den, der har foretaget opkaldet [...], eller får ufuldstændige eller ukorrekte data. Der kan kun anmodes om identifikationsoplysninger for den, der foretager opkaldet, og anmodningen skal fremsættes senest 24 timer efter opkaldet

5.      retshåndhævelsespersonale ved forbundspolitiets enhed for savnede personer inden for rammerne af dens opgave med at yde hjælp til personer i fare, eftersøgning af savnede personer og såfremt der foreligger formodning eller stærke indicier for, at den savnede persons fysiske integritet er i overhængende fare. Det er kun de data, der er omhandlet i stk. 3, første og andet afsnit, vedrørende den savnede person, som er blevet lagret i 48 timer inden anmodningen om adgang til oplysninger, der kan forlanges udleveret fra den berørte operatør eller udbyder, af en af kongen udnævnt bestemt polititjenestegren

6.      ombudstjenesten for telekommunikation, med henblik på identifikation af den person, der har foretaget en fejlagtig anvendelse af et net eller en elektronisk kommunikationstjeneste [...]. Der kan kun anmodes om identifikationsdata.

De udbydere og operatører, der er omhandlet i stk. 1, første afsnit, skal sikre, at der er ubegrænset adgang til de data fra Belgien, der er omhandlet i stk. 3, og at disse data og alle øvrige oplysninger, der er nødvendige vedrørende disse data, kan overføres straks og kun til de myndigheder, der er omhandlet i nærværende stykke.

Med forbehold af andre lovbestemmelser kan de udbydere og operatører, der er omhandlet i stk. 1, første afsnit, ikke anvende de data, der er lagret i henhold til stk. 3 til andre formål.

3.      Data til identifikation af brugeren eller abonnenten og kommunikationsmidlerne med undtagelse af de data, der er specifikt nævnt i andet og tredje afsnit, skal lagres i 12 måneder regnet fra datoen, hvor en meddelelse er mulig for sidste gang ved hjælp af den anvendte tjeneste.

Data vedrørende terminaludstyrets adgang og forbindelse til nettet og lokaliseringen af dette udstyr, herunder nettermineringspunktet skal lagres i 12 måneder regnet fra datoen for meddelelsen.

Kommunikationsdata med undtagelse af indholdet, herunder deres oprindelse og destination, skal lagres i 12 måneder regnet fra datoen for meddelelsen.

Kongen fastsætter ved bekendtgørelse godkendt af Ministerrådet og efter forslag fra justitsministeren og ministeren og efter udtalelse fra kommissionen for beskyttelse af privatlivet og instituttet de data, der skal lagres efter type af de kategorier, der er omhandlet i første til tredje afsnit, samt de krav, som de pågældende data skal opfylde.

4.      Hvad angår lagringen af de data, der er omhandlet i stk. 3, skal de udbydere og operatører, der er omhandlet i stk. 1, første afsnit:

1.      sikre, at de lagrede data er af samme kvalitet og er omfattet af den samme sikkerhed og beskyttelse som de data, der findes på nettet

2.      sikre, at dataene er omfattet af de fornødne tekniske og organisatoriske foranstaltninger således, at de er beskyttet mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab eller ændring, mod forringelse, ubeføjet eller ulovlig lagring, behandling, adgang eller udbredelse

3.      sikre, at adgangen til de lagrede data ved behandlingen af anmodningerne fra de myndigheder, der er omhandlet i stk. 2, kun gives til en eller flere medlemmer af den koordinerende enhed, der er omhandlet i artikel 126/1, stk. 1

4.      lagre data på Den Europæiske Unions område

5.      gennemføre foranstaltninger vedrørende teknologisk beskyttelse, som, så snart de er registreret, gør de lagrede data ulæselige og ubrugelige for enhver, der ikke er berettiget til at få adgang til de pågældende data

6.      tilintetgøre de lagrede data på alle medier, så snart den gældende lagringsperiode, der er fastsat i stk. 3, vedrørende de pågældende data er udløbet, med forbehold for artikel 122 og 123

7.      sikre, at udnyttelsen af de lagrede data kan spores for hver anmodning om adgang til disse data fra en myndighed, der er omfattet af stk. 2.

Den sporbarhed, der er omhandlet i stk. 7, første afsnit, udføres ved hjælp af et register. Instituttet og kommissionen for beskyttelse af privatlivet har adgang til dette register eller kan kræve en kopi af hele eller en del af registret. Instituttet og kommissionen for beskyttelse af privatlivet udarbejder en samarbejdsprotokol vedrørende opnåelse af kendskab og en prøvelse af registrets indhold.

5.      Ministeren eller justitsministeren sender hvert år statistikker om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet til Repræsentantkammeret.

Disse statistikker omfatter navnlig:

1.      de tilfælde, hvor der er sendt data til de kompetente myndigheder i overensstemmelse med de gældende lovbestemmelser

2.      tidsrummet mellem den dato, hvor dataene blev lagret, og den dato, hvor de kompetente myndigheder anmodede om udlevering af dataene

3.      de tilfælde, hvor anmodninger om data ikke kunne efterkommes.

Statistikkerne må ikke indeholde personoplysninger.

[...]«

9.        Artikel 5 bestemmer, at der indsættes en artikel 126/1 i lov af 2005 med følgende ordlyd:

»1.      Under hver operatør og hver udbyder, der er omhandlet i artikel 126, stk. 1, første afsnit, indføres en koordinerende enhed, der har til opgave – efter anmodning – at give de retligt beføjede belgiske myndigheder adgang til de data, der er lagret i henhold til artikel 122, 123 og 126, identifikationsdata fra den, der foretager et opkald i henhold til artikel 107, stk. 2, første afsnit, eller data, der kan kræves udleveret i henhold til strafferetsplejelovens artikel 46a, 88a og 90b samt artikel 18/7, 18/8, 18/16 og18/17 i [lov af 1998].

[...]

2.      Hver operatør og hver udbyder, der er omhandlet i artikel 126, stk. 1, første afsnit, skal fastsætte en intern procedure, der gør det muligt at behandle myndighedernes anmodninger om adgang til personoplysninger vedrørende brugerne. De skal på begæring stille oplysninger til rådighed for instituttet om deres procedurer, antallet af modtagne anmodninger, det påberåbte retsgrundlag samt deres afgørelse.

[...]

3.      Hver udbyder og hver operatør, der er omhandlet i artikel 126, stk. 1, første afsnit, udpeger en eller flere ansvarlige til beskyttelse af personoplysninger, som skal opfylde de kumulative betingelser, der er opregnet i stk. 1, tredje afsnit.

[...]

Den ansvarlige for beskyttelse af personoplysninger skal ved udførelsen af sine opgaver handle fuldstændig uafhængigt og skal have adgang til alle personoplysninger, der overføres til myndighederne og til alle relevante lokaler tilhørende udbyderen eller operatøren.

[...]

4.      Kongen fastsætter ved bekendtgørelse, der behandles i Ministerrådet efter udtalelse fra kommissionen for beskyttelse af privatlivet og instituttet:

[...]

2.      de krav, som den koordinerende enhed skal opfylde under hensyntagen til situationen for de operatører og udbydere, der modtager få anmodninger fra de retslige myndigheder, og som ikke har et driftssted i Belgien, eller som hovedsageligt driver virksomhed i udlandet

3.      hvilke oplysninger der skal gives til instituttet og kommissionen for beskyttelse af privatlivet i overensstemmelse med stk. 1 og 3, samt hvilke myndigheder der skal have adgang til disse oplysninger

4.      de øvrige regler, der regulerer samarbejdet mellem de operatører og udbydere, der er omhandlet i artikel 126, stk. 1, første afsnit, og de belgiske myndigheder og eller visse af disse myndigheder vedrørende udlevering af de data, der er omfattet af stk. 1, herunder om fornødent og af den berørte myndighed anmodningens form og indhold.

[...]«

10.      Artikel 8 bestemmer, at strafferetsplejelovens artikel 46a, stk. 1, affattes som følger:

»1.      Ved efterforskningen af strafbare handlinger og lovovertrædelser kan den offentlige anklager ved begrundet og skriftlig afgørelse, med den bistand, der er nødvendig fra operatøren af et elektronisk kommunikationsnet, fra leverandøren af en elektronisk kommunikationsydelse eller fra en politimyndighed, der er udpeget af Kongen, på grundlag af alle de oplysninger, den råder over, eller ved hjælp af en adgang til kunderegistre for operatøren eller leverandøren, foretage eller lade foretage:

1.      identifikation af abonnenten eller den sædvanlige bruger af en elektronisk kommunikationstjeneste eller det anvendte elektroniske kommunikationsmiddel

2.      identifikation af de elektroniske kommunikationstjenester, som en given person abonnerer på, eller som anvendes regelmæssigt af en given person.

Begrundelsen skal afspejle forholdsmæssigheden i forhold til overholdelsen af retten til respekt for privatlivet og er subsidiær i forhold til enhver anden efterforskningsforpligtelse.

I særligt hastende tilfælde kan en ansat ved de retshåndhævende myndigheder, med den offentlige anklagers mundtlige og forudgående godkendelse, og på grundlag af en begrundet og skriftlig afgørelse, begære disse oplysninger udleveret. Den ansatte ved de retshåndhævende myndigheder meddeler denne begrundede og skriftlige afgørelse samt de indhentede oplysninger inden for 24 timer til den offentlige anklager og skal desuden føre bevis for den særligt hastende karakter.

For overtrædelser, der ikke kan medføre en fængselsstraf på et år eller mere, kan den offentlige anklager, eller i særligt hastende tilfælde retshåndhævelsespersonale, kun anmode om de data, der er omhandlet i stk. 1, for en periode på seks måneder forud for den offentlige anklagers afgørelse.

2.      Enhver operatør af et elektronisk kommunikationsnet og enhver leverandør af en elektronisk kommunikationstjeneste, der har pligt til at fremlægge de data, der er omhandlet i stk. 1, giver den offentlige anklager eller ansatte ved de retshåndhævende myndigheder de data, hvorom der er indgivet anmodning, inden for frist, der fastsættes af kongen [...].

[...]

Enhver, der i kraft af sit embede har kendskab til foranstaltningen eller bistår heri, er underlagt tavshedspligt. Enhver overtrædelse af tavshedspligten straffes i henhold til straffelovens artikel 458.

Afslag på at fremlægge data straffes med bøde på 26 til 10 000 EUR.«

11.      Artikel 9 bestemmer, at strafferetsplejelovens artikel 88a affattes som følger:

»1.      Såfremt der foreligger seriøse indicier på, at overtrædelserne kan medføre en fængselsstraf på et år eller mere, og såfremt undersøgelsesdommeren finder, at der foreligger omstændigheder, der gør sporing af elektronisk kommunikation eller lokalisering af den elektroniske kommunikations kilde eller dens bestemmelsessted nødvendig for at afklare sagens forhold, kan dommeren enten direkte eller via en politimyndighed udpeget af kongen, med hjælp af den tekniske bistand, der er nødvendig fra operatøren af et elektronisk kommunikationsnet, fra leverandøren af en elektronisk kommunikationsydelse, anordne følgende:

1.      sporing af trafikdata fra elektroniske kommunikationsmidler, fra hvilke eller til hvilke der foretages eller er blevet foretaget elektronisk kommunikation

2.      lokalisering af den elektroniske kommunikations kilde eller dens bestemmelsessted.

I de tilfælde, der er omhandlet i første afsnit, skal der for hvert enkelt elektronisk kommunikationsmiddel, hvis opkaldsdata spores, eller hvoraf telekommunikationens kilde eller bestemmelsessted lokaliseres, angives dato, klokkeslæt og varighed, og om fornødent stedet for den elektroniske kommunikation, og det hele nedfældes i et referat.

Undersøgelsesdommeren skal i en begrundet kendelse angive de faktiske omstændigheder i sagen, der begrunder foranstaltningen, grunden til, at foranstaltningen er forholdsmæssig i forhold til retten til respekt af privatlivets fred og subsidiær i forhold til enhver anden efterforskningsforpligtelse.

Undersøgelsesdommeren skal ligeledes præcisere perioden, hvorunder foranstaltningen kan finde anvendelse fremtidigt, og denne periode kan ikke overstige to måneder regnet fra kendelsen, uden at dette påvirker muligheden for forlængelse og i givet fald den tidligere periode, som kendelsen i overensstemmelse med stk. 2 strækker sig over.

[...]

2.      Hvad angår anvendelsen af den foranstaltning, der er omhandlet i stk. 1, første afsnit, på trafik- og lokaliseringsdata, der skal lagres i henhold til artikel 126 i lov af [...] 2005 [...], finder følgende bestemmelser anvendelse:

–      For en overtrædelse, der er omfattet af straffelovens bog II, afsnit Ib, kan undersøgelsesdommeren i sin kendelse anmode om udlevering af data for en periode på tolv måneder forud for kendelsen.

–      For øvrige overtrædelser, der er omfattet af artikel 90b, stk. 2-4, og som ikke er omfattet af første led, eller for en overtrædelse, der begås af en kriminel organisation, som er omfattet af straffelovens artikel 324a, eller for en overtrædelse, der kan medføre en fængselsstraf på fem år eller mere, kan undersøgelsesdommeren i sin kendelse anmode om data for en periode på ni måneder forud for kendelsen.

–      For øvrige overtrædelser kan undersøgelsesdommeren kun anmode om udlevering af data for en periode på seks måneder forud for kendelsen.

3.      Foranstaltningen må ikke vedrøre en advokats eller læges elektroniske kommunikationsmidler, såfremt denne er mistænkt for at have begået en overtrædelse, der er omfattet af stk. 1, eller at have deltaget deri, eller såfremt præcise faktiske omstændigheder lader formode, at tredjemænd, der er mistænkt for at have begået en overtrædelse, som er omfattet af stk. 1, anvender dennes elektroniske kommunikationsmidler.

Foranstaltningen kan ikke gennemføres, uden at advokatsamfundets formand eller en repræsentant for provinsens lægeråd efter omstændighederne underrettes derom. De samme personer underrettes af undersøgelsesdommeren om de oplysninger, som denne sidstnævnte finder henhører under tavshedspligten. Disse oplysninger nedfældes ikke i referatet.

4.      [...]

Enhver, der i kraft af sit embede har kendskab til foranstaltningen eller bistår heri, er underlagt tavshedspligt. Enhver overtrædelse af tavshedspligten straffes i henhold til straffelovens artikel 458.

[...]«

12.      I henhold til artikel 12 affattes artikel 13 i lov af 1998 som følger:

»Efterretnings- og sikkerhedstjenesterne kan efterforske, indsamle, modtage og behandle personoplysninger og persondata, der kan være til gavn ved udførelsen af deres opgaver og kan ajourføre dokumentation for bl.a. begivenheder, grupper og personer, der kan være relevante for udførelsen af deres opgaver.

Oplysningerne i dokumentationen skal have en forbindelse med registrets formål og skal begrænse sig til de krav, der følger deraf.

Efterretnings- og sikkerhedstjenesterne skal sikre beskyttelse af de data, der vedrører deres kilder og for personoplysninger og persondata, der leveres af disse kilder.

Agenterne fra efterretnings- og sikkerhedstjenesterne skal have adgang til oplysningerne, efterretningerne og personoplysningerne, der indsamles og behandles af deres tjenestegrene, for så vidt som de er brugbare ved udøvelsen af deres funktion eller opgave.«

13.      Artikel 14 ændrer ordlyden af artikel 18/3, der har nu følgende ordlyd:

»1.      De specifikke metoder for indsamling af data, der er omhandlet i artikel 18/2, stk. 1, kan gennemføres på baggrund af den potentielle trussel, der er omhandlet i artikel 18/1, såfremt de almindelige metoder for indsamling af data anses for utilstrækkelige til at indhente de oplysninger, der er nødvendige for en efterretningsopgave. Den specifikke metode skal vælges på grundlag af graden af alvor med hensyn til den potentielle trussel, for hvilken den iværksættes.

Den specifikke metode kan først iværksættes efter en skriftlig og begrundet afgørelse fra myndighedschefen og efter meddelelse af denne afgørelse til Kommissionen.

2.      Myndighedschefens afgørelse skal angive:

1.      karakteren af den specifikke metode

2.      efter omstændighederne de fysiske eller juridiske personer, sammenslutninger eller grupper, formål, lokaliteter, begivenheder eller oplysninger, der er omfattet af den specifikke metode

3.      den potentielle trussel, der begrunder den specifikke metode

4.      de faktiske omstændigheder, der begrunder den specifikke metode, en begrundelse i forhold til subsidiaritet og forholdsmæssighed, herunder forbindelsen mellem nr. 2 og 3

5.      perioden, hvorunder den specifikke metode kan anvendes, regnet fra afgørelsens meddelelse til kommissionen

[...]

9.      om fornødent de stærke indicier, der bevidner, at advokaten, lægen eller journalisten deltager eller har deltaget personligt og aktivt i den potentielle trussels opståen eller udvikling

10.      i de tilfælde, hvor artikel 18/8 anvendes, begrundelsen for varigheden af den periode, som indsamlingen af data vedrører

[...]

8.      Myndighedschefen afslutter den specifikke metode, når den potentielle trussel, der begrundede den, ikke længere er til stede, når metoden ikke længere er hensigtsmæssig for det formål, den blev iværksat for, eller såfremt der konstateres en retsstridighed. Myndighedschefen skal så hurtigt som muligt underrette kommissionen om sin afgørelse.«

14.      Artikel 18/8 i lov af 1998 affattes således:

»1.      Efterretnings- og sikkerhedstjenesterne kan med henblik på at udføre deres opgaver eventuelt ved at anmode om teknisk bistand fra en operatør af et elektronisk kommunikationsnet eller fra en udbyder af en elektronisk kommunikationstjeneste foretage eller lade foretage:

1.      sporing af trafikdata fra elektroniske kommunikationsmidler, fra hvilke eller til hvilke der foretages eller er blevet foretaget elektronisk kommunikation

2.      lokalisering af den elektroniske kommunikations kilde eller dens bestemmelsessted.

[...]

2.      Hvad angår anvendelsen af den metode, der er omhandlet i stk. 1, på de data, der lagres i henhold til artikel 126 i lov af [...] 2005 [...], finder følgende bestemmelser anvendelse:

1.      For en potentiel trussel, der vedrører en aktivitet, som kan være knyttet til kriminelle organisationer eller skadelige sekteriske organisationer, kan myndighedschefen i sin afgørelse kun anmode om data for en periode, der ligger seks måneder forud for afgørelsen.

2.      For en anden potentiel trussel end den, der er omhandlet i stk. 1 og 3, kan myndighedschefen i sin afgørelse anmode om data for en periode, der ligger ni måneder forud for afgørelsen.

3.      For en potentiel trussel, der vedrører en aktivitet, som kan være knyttet til terrorisme eller ekstremisme, kan myndighedschefen i sin afgørelse anmode om data for en periode, der ligger tolv måneder forud for afgørelsen [...]«

II.    De faktiske omstændigheder i hovedsagen og de præjudicielle spørgsmål

15.      Ved dom af 11. juni 2015 (14) annullerede Cour constitutionnelle (forfatningsdomstol) den nye udgave af artikel 126 i lov af 2005 af de samme grunde, som havde fået Domstolen til i Digital Rights-dommen at fastslå, at direktiv 2006/24 var ugyldigt.

16.      Som følge af denne annullation vedtog den nationale lovgiver (inden dommen i sagen Tele2 Sverige og Watson blev afsagt) lov af 29. maj 2016.

17.      VZ m.fl., Ordre des barreaux francophones et germanophone (herefter »Ordre des barreaux«), Liga voor Mensenrechten ASBL (herefter »Liga«), Ligue des Droits de l’Homme ASBL (herefter »Ligue«) og Académie Fiscale ASBL (herefter »Académie Fiscale«) anlagde ved den forelæggende ret forskellige sager med påstand om, at den nævnte lov var forfatningsstridig, hvori de i det væsentlige gjorde gældende, at loven gik ud over det strengt nødvendige og ikke sikrede tilstrækkelige garantier.

18.      På denne baggrund har Cour constitutionnelle (forfatningsdomstol) forelagt Domstolen følgende præjudicielle spørgsmål:

»1)      Skal artikel 15, stk. 1, i direktiv 2002/58/EF, sammenholdt med den ret til sikkerhed, der er sikret ved artikel 6 i Den Europæiske Unions charter om grundlæggende rettigheder [herefter »chartret«], og retten til respekt for personoplysninger, som er sikret ved artikel 7, 8 og artikel 52, stk. 1, i [chartret], fortolkes således, at bestemmelsen er til hinder for en national lovgivning – såsom den omhandlede, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata som omhandlet i direktiv 2002/58/EF, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester – som ikke kun har efterforskning, afsløring og retsforfølgning af grov kriminalitet som formål, men ligeledes sikring af den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller gennemførelse af et andet formål i henhold til artikel 23, stk. 1, i [Europa-Parlamentets og Rådets] forordning (EU) 2016/679 [af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1)], og som endvidere er undergivet præcise garantier i denne lovgivning vedrørende lagring af data og adgangen dertil?

2)      Skal artikel 15, stk. 1, i direktiv 2002/58/EF, sammenholdt med [chartrets] artikel 4, 7, 8, 11 og artikel 52, stk. 1, [...] fortolkes således, at bestemmelsen er til hinder for en national lovgivning – såsom den omhandlede, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata som omhandlet i direktiv 2002/58/EF, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester – såfremt denne lovgivning bl.a. har til formål at opfylde de positive forpligtelser, der påhviler myndigheden i henhold til chartrets artikel 4 og 8, der består i at fastsætte en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler?

3)      Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af det første og det andet præjudicielle spørgsmål konkluderer, at den anfægtede lov er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af [den omtvistede] lov [...] med henblik på at undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?«

III. Retsforhandlingerne for Domstolen

19.      Anmodningen om præjudiciel afgørelse indgik til Domstolen den 2. august 2018.

20.      VZ m.fl., Académie Fiscale, LMR, LDH, Ordre des barreaux, Fondation pour Enfants Disparus et Sexuellement Exploités (Child Focus), den belgiske, den tjekkiske, den danske og den tyske regering, Irland, den spanske, den estiske, den franske, den cypriotiske, den ungarske, den polske, den svenske og Det Forenede Kongeriges regering samt Kommissionen har afgivet skriftlige indlæg.

21.      Den 9. september 2019 blev der afholdt et retsmøde, som blev afholdt samtidig med retsmøderne i sag C-511/18, C-512/18 og C-623/17, med deltagelse af parterne i de fire præjudicielle procedurer, de ovennævnte regeringer samt den norske regering, Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse.

IV.    Bedømmelse

22.      Det første spørgsmål i denne anmodning er i det væsentlige sammenfaldende med de spørgsmål, der er blevet forelagt i de forenede sager C-511/18 og C-512/18. Det adskiller sig imidlertid fra sidstnævnte for så vidt angår de formål, som den nationale lovgivning forfølger: Der er ikke udelukkende tale om bekæmpelse af terrorisme og de groveste former for kriminalitet eller beskyttelse af den nationale sikkerhed, men derimod også »forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet« og generelt alle de i artikel 23, stk. 1, i forordning nr. 2016/679 nævnte formål.

23.      Det andet spørgsmål er forbundet med det første, men supplerer det, idet det hermed ønskes oplyst, om de positive forpligtelser, der påhviler den offentlige myndighed med hensyn til efterforskning af og retshåndhævelse over for seksuelt misbrug af mindreårige, begrunder de omtvistede foranstaltninger.

24.      Det tredje spørgsmål forelægges i det tilfælde, at den nationale lov er uforenelig med EU-retten. Den forelæggende ret ønsker oplyst, om den i så fald midlertidigt kan opretholde virkningerne af lov af 29. maj 2016.

25.      Jeg vil behandle disse spørgsmål, idet jeg først undersøger, om direktiv 2002/58 finder anvendelse, i hvilken henseende jeg henviser til mine forslag til afgørelse vedrørende andre af disse præjudicielle forelæggelser. Derefter vil jeg opsummere de vigtigste retningslinjer i Domstolens praksis på dette område samt mulighederne for at udvikle denne praksis. Endelig vil jeg besvare de enkelte præjudicielle spørgsmål.

A.      Spørgsmålet, om direktiv 2002/58 finder anvendelse

26.      Ligesom i de tre øvrige præjudicielle forelæggelser er der i denne sag blevet rejst tvivl om, hvorvidt direktiv 2002/58 finder anvendelse. På grund af ligheden mellem de synspunkter, som medlemsstaterne har gjort gældende desangående, henviser jeg på dette punkt til mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18 (15).

B.      Domstolens praksis vedrørende offentlige myndigheders lagring af og adgang til personoplysninger inden for rammerne af direktiv 2002/58

1.      Princippet om hemmelighed for så vidt angår kommunikationen og de dermed forbundne trafikdata

27.      Bestemmelserne i direktiv 2002/58 »specificerer og supplerer« direktiv 95/46/EF (16) med henblik på at sikre et højt niveau i beskyttelsen personoplysninger i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester (17).

28.      Det fremgår af artikel 5, stk. 1, i direktiv 2002/58, at medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter.

29.      Kommunikationshemmeligheden indebærer bl.a. (artikel 5, stk. 1, andet punktum, i direktiv 2002/58) et forbud mod, at andre end brugerne lagrer trafikdata forbundet med elektronisk kommunikation, uden at de pågældende brugere har indvilget heri. Undtaget herfra er »de personer, for hvilke det lovligt er tilladt [...], og de tilfælde, hvor den tekniske lagring er nødvendig for overføring af en kommunikation« (18).

30.      Artikel 5 og 6 samt artikel 9, stk. 1, i direktiv 2002/58 har til formål at bevare hemmeligheden for så vidt angår kommunikationen og de dermed forbundne trafikdata og mindske risikoen for misbrug til et absolut minimum. Deres rækkevidde skal vurderes i lyset af 30. betragtning til direktivet, hvoraf det fremgår, at »[s]ystemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum« (19).

31.      Med hensyn til disse data kan der sondres mellem:

–      Trafikdata, hvis behandling og lagring kun er tilladt i det omfang og den varighed, der er nødvendige for debiteringen af tjenesteydelserne, markedsføringen heraf og leveringen af tillægstjenester (artikel 6 i direktiv 2002/58). Når denne frist er udløbet, skal de behandlede eller lagrede data slettes eller gøres anonyme (20).

–      Andre lokaliseringsdata end trafikdata, som kun kan behandles under visse betingelser og kun, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil (artikel 9, stk. 1, i direktiv 2002/58) (21).

2.      Begrænsningen i henhold til artikel 15, stk. 1, i direktiv 2002/58

32.      I henhold til artikel 15, stk. 1, i direktiv 2002/58 kan medlemsstaterne »vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1-4, og artikel 9« i dette direktiv.

33.      Enhver indskrænkning skal være »nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46[...]«.

34.      Denne opregning af hensyn er udtømmende (22): Som et eksempel (»bl.a.«) tillades »retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke«.

35.      Under alle omstændigheder skal »[a]lle i dette stykke omhandlede forskrifter [...] være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2«. Artikel 15, stk. 1, i direktiv 2002/58 skal således fortolkes i lyset af de grundlæggende rettigheder, som er sikret ved chartret (23).

36.      Af disse rettigheder, som er sikret ved chartret, har Domstolen, for så vidt som det er relevant i denne sag, nævnt retten til respekt for privatlivet (artikel 7), retten til beskyttelse af personoplysninger (artikel 8) og retten til ytringsfrihed (artikel 11) (24).

37.      Som en retningslinje for fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 har Domstolen ligeledes fremhævet, at begrænsningen af pligten til at sikre hemmeligheden for så vidt angår kommunikationen og de dermed forbundne trafikdata skal fortolkes strengt.

38.      Domstolen har nærmere bestemt afvist, »at en fravigelse af denne principielle pligt og navnlig af det i direktivets artikel 5 fastsatte forbud mod at lagre disse data bliver hovedreglen, idet rækkevidden af den sidstnævnte bestemmelse ellers i høj grad ville blive udhulet« (25).

39.      Denne todelte bemærkning forekommer mig at være afgørende for forståelsen af, hvorfor Domstolen har fastslået, at generel og udifferentieret lagring af trafikdata og lokaliseringsdata vedrørende elektronisk kommunikation er uforenelig med direktiv 2002/58.

40.      Med denne erklæring har Domstolen blot foretaget en »åbenbar« (26) anvendelse af proportionalitetskriteriet, som den havde anvendt tidligere (27): »[B]eskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan kræver, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige« (28).

3.      Spørgsmålet, om lagringen af data er forholdsmæssig

a)      Uforholdsmæssigheden af en generel og udifferentieret lagring

41.      Domstolen har anerkendt, at bekæmpelse af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, er af afgørende betydning for at sikre den offentlige sikkerhed, og at effektiviteten heraf i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker. Domstolen har tilføjet, at »[e]t sådant mål af almen interesse [...] imidlertid, hvor grundlæggende det end er, ikke i sig selv [kan] begrunde, at en foranstaltning med henblik på datalagring som den, der er indført med direktiv 2006/24, anses for nødvendig af hensyn til bekæmpelsen af grov kriminalitet« (29).

42.      For at afgøre, om en foranstaltning af denne type er begrænset til det strengt nødvendige, har Domstolen især fremhævet, at indgrebet i de grundlæggende rettigheder, der er fastsat i chartrets artikel 7 og 8, er særligt alvorligt (30). Denne særligt alvorlige karakter skyldes netop, at den nationale lovgivning foreskrev »en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation, og at den uden undtagelse forpligter udbyderne af elektroniske kommunikationstjenester til at lagre disse data systematisk og uafbrudt« (31).

43.      Det indgreb, som denne foranstaltning medførte i borgernes liv, afspejles i disse bemærkninger fra Domstolen om virkningerne af lagringen af data.

Disse data (32)

–      »gør det muligt at spore og identificere kilden til en kommunikation og dens bestemmelsessted, fastslå en kommunikations dato, klokkeslæt, varighed og type, identificere brugernes kommunikationsudstyr og lokalisere mobilt udstyr« (33)

–      »gør det navnlig muligt at få kendskab til, med hvilken person og ved hjælp af hvilket kommunikationsmiddel en abonnent eller registreret bruger har kommunikeret, samt at tidsfæste kommunikationen og identificere det sted, hvorfra den har fundet sted[; d]esuden gør de det muligt at være bekendt med hyppigheden af abonnentens eller den registrerede brugers kommunikation med bestemte personer i en given periode« (34)

–      »[gør] det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer« (35)

–      »[...] gør [...] det muligt [...] at lave en profil af de berørte personer, hvilken oplysning, henset til retten for respekt af privatlivet, er lige så følsom som selve indholdet af kommunikationen« (36).

44.      Indgrebet kan desuden »skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning«, eftersom »lagringen af data finder sted, uden at brugerne af de elektroniske kommunikationstjenester oplyses herom« (37).

45.      Henset til alvoren af indgrebet er det alene bekæmpelse af grov kriminalitet, som kan begrunde en sådan foranstaltning vedrørende lagring af data (38). En sådan foranstaltning må imidlertid ikke blive hovedreglen, idet »den ved direktiv 2002/58 indførte ordning opstiller et krav om, at denne lagring af data skal være undtagelsen« (39).

46.      Den omstændighed, at den foranstaltning, der er genstand for efterprøvelsen, hverken foreskrev »[en] form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål« (40) eller »kræver [en] sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed« (41), havde to konsekvenser:

–      Dels omfattede foranstaltningen »generelt alle personer, der gør brug af elektroniske kommunikationstjenester, uden at disse personer – end ikke indirekte – befinder sig i en situation, der vil kunne give anledning til strafferetlig forfølgning [...] Endvidere indeholder den ikke nogen undtagelsesbestemmelse, således at den finder anvendelse endog på personer, hvis kommunikation i henhold til nationale retsregler er omfattet af tavshedspligt« (42).

–      Dels »er [den] [...] ikke begrænset til en lagring, som er rettet mod data vedrørende et tidsrum og/eller et geografisk område og/eller en personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af kriminalitet« (43).

47.      På denne baggrund overskred den undersøgte nationale lovgivning derfor det strengt nødvendige. Derfor kunne den i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1 (44).

b)      Spørgsmålet, om der kan foretages en målrettet lagring af data

48.      Domstolen har fastslået, at en national lovgivning, der »som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet« (45), er forenelig med EU-retten.

49.      Gyldigheden af denne målrettede lagring af data er betinget af, at den »begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen«.

50.      De retningslinjer, som dommen i sagen Tele2 Sverige og Watson opstiller for vurderingen af, hvornår disse betingelser er opfyldt, er ikke udtømmende (måske kunne de ikke være det) og er snarere angivet generelt. For at overholde dem skal medlemsstaterne:

–      fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af en sådan foranstaltning om lagring af data (46)

–      fastsætte »objektive kriterier, som fastlægger et forhold mellem de data, der skal lagres, og det forfulgte mål« (47), og

–      basere foranstaltningen »på objektive forhold, der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse, i det mindste indirekte, til grov kriminalitet, bidrage til bekæmpelse af grov kriminalitet på den ene eller den anden måde eller forhindre en alvorlig fare for den offentlige sikkerhed« (48).

51.      Med hensyn til disse objektive elementer nævner Domstolen muligheden for at anvende et geografisk kriterium til at afgrænse personkredsen og de potentielt omfattede situationer som et eksempel. Henvisningen til dette kriterium, som visse medlemsstater har udtrykt sig kritisk om, har efter min opfattelse ikke til formål at begrænse rækken af godkendte faktorer for målrettethed til dette kriterium alene.

4.      Spørgsmålet, om adgangen til dataene er forholdsmæssig

a)      Dommen i sagen Tele2 Sverige og Watson

52.      Domstolen har behandlet spørgsmålet om de nationale myndigheders adgang til data uanset rækkevidden af forpligtelsen til lagring, som påhviler udbydere af elektroniske kommunikationstjenester, og navnlig spørgsmålet om, hvorvidt en lagring af data er generel eller målrettet (49).

53.      Selv om formålet med lagring er at sikre en efterfølgende adgang til dataene, kan begge foranstaltninger medføre forskellige tilsidesættelser af de grundlæggende rettigheder, som er sikret ved chartret. Denne sondring betyder imidlertid ikke, at nogle af betragtningerne med hensyn til lagringen ikke også finder anvendelse på adgangen til de lagrede data.

54.      I denne forbindelse skal adgangen:

–      »Faktisk og præcist opfylde et af disse mål«, der er fastsat i artikel 15, stk. 1, første punktum, i direktiv 2002/58. Det mål, der forfølges, skal desuden stå i forhold til alvoren af indgrebet. Hvis indgrebet kvalificeres som alvorligt, kan det udelukkende begrundes i bekæmpelsen af grov kriminalitet (50).

–      Holdes inden for det strengt nødvendige (51). Desuden skal de lovgivningsmæssige foranstaltninger »fastsætte klare og præcise regler, der angiver, under hvilke omstændigheder og på hvilke betingelser udbyderne af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de pågældende data. En foranstaltning af denne art skal desuden være retligt bindende i national ret« (52).

–      De nationale lovgivninger skal nærmere bestemt fastsætte »de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data« (53).

55.      På baggrund af det ovenstående kan det fastslås, at »en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige« (54).

56.      Domstolen har fastslået, at »den pågældende nationale lovgivning således [skal] være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til abonnenters eller registrerede brugeres data« (55). I denne henseende »kan der i forbindelse med målet om bekæmpelse af kriminalitet i princippet kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse« (56).

57.      De nationale bestemmelser, der giver de kompetente nationale myndigheder adgang til de lagrede data, skal med andre ord have en tilstrækkeligt afgrænset rækkevidde. Der skal være en forbindelse mellem de berørte personer og det forfulgte mål, således at adgangen ikke omfatter et betydeligt antal personer, eller endda samtlige personer, samtlige midler til elektronisk kommunikation og samtlige lagrede data.

58.      Disse regler kan imidlertid tilpasses under visse omstændigheder. Domstolen har nævnt »særlige situationer, såsom de situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed«. I sådanne situationer »kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed« (57).

59.      Denne præcisering fra Domstolen tillader medlemsstaterne at indføre en mere omfattende særordning for adgang til data, når det undtagelsesvis er nødvendigt for at bekæmpe trusler mod statens grundlæggende interesser (den nationale sikkerhed, forsvaret og den offentlige sikkerhed) (58), således at den også omfatter personer, som kun indirekte er forbundet med disse risici.

60.      De nationale myndigheders adgang til de lagrede data skal uanset typen af data opfylde tre krav:

–      Den skal »i princippet, undtagen i behørigt begrundede hastende tilfælde, [være] undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed«. Denne domstols eller denne enheds afgørelse skal træffes »på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning« (59).

–      »[D]e kompetente nationale myndigheder, som har fået adgang til de lagrede data, underretter de berørte personer herom inden for rammerne af de gældende nationale procedurer, så snart underretningen herom ikke kan skade disse myndigheders efterforskning« (60).

–      Medlemsstaterne skal vedtage regler om sikkerhed og beskyttelse med hensyn til de data, som udbyderne af elektroniske kommunikationstjenester er i besiddelse af, med henblik på at undgå misbrug og ulovlig adgang til disse data (61).

b)      Ministerio Fiscal-dommen

61.      I denne sag ønskedes det oplyst, om en national lovgivning, der giver de kompetente myndigheder adgang til data vedrørende den civile identitet på indehaverne af SIM-kort, var forenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8.

62.      Domstolen bemærkede, at artikel 15, stk. 1, første punktum, i direktiv 2002/58 ikke begrænser formålet om forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser til kun at omfatte bekæmpelse af alvorlige forbrydelser, men tager sigte på »straffesager« generelt (62).

63.      Domstolen tilføjede, at der for at begrunde de kompetente nationale myndigheders adgang til datene bør være overensstemmelse mellem indgrebets alvor og grovheden af de pågældende lovovertrædelser. Dermed:

–      »er et alvorligt indgreb [...] kun begrundet[, når det] [...] har til formål at bekæmpe kriminalitet, der på samme måde kan kvalificeres som »grov«« (63).

–      »kan nævnte adgang – når det indgreb, som en sådan adgang indebærer, ikke er alvorligt – begrundes med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af »straffelovsovertrædelser« generelt« (64).

64.      På denne baggrund og i modsætning til det, der skete i dommen i sagen Tele2 Sverige og Watson, kvalificerede Domstolen ikke indgrebet i de rettigheder, der var beskyttet ved chartrets artikel 7 og 8, som »alvorligt«, eftersom anmodningen om adgang »kun [havde] til formål at identificere indehaverne af de SIM-kort, der i en periode på 12 dage blev aktiveret med den stjålne mobiltelefons IMEI-kode« (65).

65.      For at fremhæve indgrebets mindre alvorlige karakter forklarede Domstolen, at » de data, der er omfattet af den i hovedsagen omhandlede anmodning om adgang, kun gør det muligt i en bestemt periode at sammenkæde det eller de SIM-kort, der er blevet aktiveret med den stjålne mobiltelefon, med indehaverne af disse SIM-korts identitet. Uden sammenholdning af data vedrørende den kommunikation, der er foretaget med de nævnte SIM-kort, med lokaliseringsdata, gør disse data det hverken muligt at kende datoen, tidspunktet, varigheden og modtagerne af den kommunikation, der er foretaget med det eller de omhandlede SIM-kort, eller de steder, hvor denne kommunikation har fundet sted eller hyppigheden heraf med visse personer i en bestemt periode. De nævnte data gør det dermed ikke muligt at drage præcise slutninger vedrørende privatlivet for de personer, hvis data er omhandlet« (66).

66.      I den sag, der blev afgjort ved Ministerio Fiscal-dommen, ønskedes det ikke oplyst, om de personoplysninger, der var genstand for adgangen, var blevet lagret af udbyderne af elektroniske kommunikationstjenester under overholdelse af de betingelser, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 (67). Spørgsmålet om, hvorvidt de øvrige betingelser for adgang, der følger af førstnævnte artikel, var overholdt, blev heller ikke behandlet.

67.      Dermed er det på grundlag af en fortolkning af Ministerio Fiscal-dommen ikke muligt at udlede nogen form for ændring i Domstolens praksis med hensyn til den omstændighed, at en national ordning, der tillader generel og udifferentieret lagring af data som omhandlet i dommen i sagen Tele2 Sverige og Watson, er uforenelig med EU-retten.

68.      Jeg er imidlertid af den opfattelse, at Domstolen, idet den har anerkendt gyldigheden af en ordning for adgang, som er begrænset til visse personlige oplysninger (om den civile identitet på indehavere af SIM-kort), implicit accepterer tjenesteudbydernes lagring af selvsamme data.

C.      Den væsentligste kritik af Domstolens praksis

69.      Såvel den forelæggende ret som hovedparten af de medlemsstater, der har afgivet indlæg, har opfordret Domstolen til at præcisere, nuancere eller endda genoverveje flere aspekter af dens retspraksis på dette område, som de har kritiseret.

70.      Hovedparten af denne kritik, som enten er blevet fremsat i det skjulte eller direkte, er allerede blevet fremsat i forbindelse med Digital Rights-dommen og blev forkastet i dommen i sagen Tele2 Sverige og Watson. Kritikken fremkommer nu på ny i det væsentlige for at fremhæve, at det er tilstrækkeligt, at der findes strenge bestemmelser om adgang til de data, som udbyderne af elektroniske kommunikationstjenester er i besiddelse af, hvilke bestemmelser på en vis måde vil kunne opveje den alvorlige karakter af det indgreb, der består i generel og udifferentieret lagring af disse data.

71.      Ved flere eksempler på denne kritik fremhæves desuden behovet for at vedtage virkelig effektive foranstaltninger med henblik på bekæmpelsen af alvorlige trusler mod sikkerheden og mod kriminalitet generelt, og Domstolen opfordres til at tage højde for retten til sikkerhed (chartrets artikel 6) samt medlemsstaternes skønsmargen til at beskytte den nationale sikkerhed. I et tilfælde tilføjes det, at Domstolen ikke har taget højde for den forebyggende karakter af efterretnings- og sikkerhedstjenesternes indgreb.

D.      Min bedømmelse af denne kritik og af de nuanceringer, som kunne indføres i Domstolens praksis

72.      Efter min opfattelse bør Domstolen opretholde det standpunkt, som den er nået frem til i sine foregående domme: En generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere udgør en uforholdsmæssig tilsidesættelse af de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 11.

73.      Modsætningsvis kan en national lovgivning, der fastsætter tilstrækkelige begrænsninger for lagring af nogle af disse data, der genereres i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester, være forenelig med EU-retten. Nøglen er således en begrænset lagring af disse data.

74.      Af nedenstående grunde bør denne begrænsede lagring ikke blot være en lagring, der vedrører et konkret geografisk område eller en konkret kategori af personer: Diskussionerne om disse kriterier for lagring viser, at de enten kan være uigennemførlige eller virkningsløse med henblik på de forfulgte mål eller endda udgøre en kilde til forskelsbehandling.

75.      Først og fremmest kan jeg ikke tilslutte mig det argument for kritikken, der foreslår kombinationen »en mere vidtrækkende lagring til gengæld for en mere begrænset adgang«. Domstolens ræsonnement, som jeg tilslutter mig, er, at lagring af og adgang til data udgør to forskellige former for indgreb. Selv om lagring af data giver mening med henblik på, at de kompetente myndigheder eventuelt får adgang efterfølgende, skal hvert enkelt indgreb begrundes særskilt gennem en specifik undersøgelse i betragtning af det forfulgte mål.

76.      Dermed kan en national ordning, der tillader generel og udifferentieret lagring af data, ikke begrundes på det grundlag, at de pågældende bestemmelser samtidig indfører strenge materielle og processuelle betingelser for adgangen til disse data.

77.      Der skal således foreligge bestemmelser, der specifikt omhandler lagringen af data, som underkaster denne lagring betingelser, således at den ikke har en generel og udifferentieret karakter. Kun på denne måde sikres foreneligheden med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1.

78.      Dette er i øvrigt den holdning, som er blevet vedtaget af de arbejdsgrupper, der samledes i Rådet for at definere regler for lagring og adgang, der er forenelige med Domstolens praksis, og som parallelt undersøgte de to former for indgreb (68).

79.      Ved at anvende begrænsninger på begge disse former for indgreb kan det vurderes, om deres eventuelle kumulative virkninger, kombineret med stærke garantier, er i stand til at mindske indvirkningen af lagringen af data på de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 11, samtidig med at effektiviteten af efterforskningerne sikres.

80.      For at beskytte disse rettigheder skal ordningen:

–      tillade en lagring af data, der indeholder visse begrænsninger og forskelle afhængig af det forfulgte mål

–      regulere adgangen til disse data i form af en begrænsning til det strengt nødvendige med henblik på det forfulgte mål og være underlagt en domstols eller en uafhængig administrativ myndigheds kontrol.

81.      Begrundelsen for, at udbydere af elektroniske kommunikationstjenester lagrer bestemte data, hvilket ikke blot skal være med henblik på varetagelsen af deres kontraktlige forpligtelser over for brugerne, styrkes i takt med de teknologiske fremskridt. Idet det anerkendes, at denne lagring er nyttig for at forebygge og bekæmpe kriminalitet (hvilket næppe kan bestrides (69)), ville det ikke være logisk at begrænse dens rækkevidde alene til udnyttelse af de data, som operatørerne lagrer for at udøve deres kommercielle virksomhed, og kun til det tidsrum, der er nødvendigt med henblik på denne virksomhed.

82.      Når det anerkendes, at det er nyttigt, at der foreligger en pligt til at lagre data for at beskytte den nationale sikkerhed og bekæmpe kriminalitet, som er mere vidtrækkende end den lagring, som operatørerne kan foretage under hensyn til deres tekniske og kommercielle behov, er det nødvendigt at definere rammerne for denne pligt.

83.      Hver enkelt ordning for lagring skal være strengt begrænset til det forfulgte mål, således at den ikke kan omdannes til en udifferentieret lagring (70). Den skal desuden udelukke, at summen af disse data udgør et portræt af den berørte person (dvs. af den pågældendes sædvanlige aktiviteter og sociale relationer), som ligner eller er identisk med det portræt, der opnås gennem et kendskab til indholdet af kommunikationen.

84.      For at opklare visse misforståelser og manglende forståelser er det vigtigt at tage højde for det, som Domstolen ikke fastslog i Digital Rights-dommen og i dommen i sagen Tele2 Sverige og Watson. I disse domme blev det ikke som sådan afvist, at der kan findes en ordning for lagring af data som et nyttigt instrument i forbindelse med bekæmpelsen af kriminalitet. Derimod blev det anerkendt, at målet om at forebygge og bekæmpe kriminelle handlinger er legitimt, og at det er nyttigt at have en ordning for lagring af data for at nå dette mål.

85.      Det, der som nævnt på det kraftigste blev udelukket i disse domme, er, at Unionen eller dens medlemsstater under påberåbelse af dette mål kan indføre en pligt til udifferentieret lagring af samtlige de data, der genereres i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester, og en generel adgang til disse data.

86.      Derfor er det nødvendigt at finde former for lagring af data, der ikke er behæftet med de betegnelser (»generel og udifferentieret«), som er uforenelige med den beskyttelse, der kræves i henhold til chartrets artikel 7, 8 og 11.

87.      En af disse former kunne være en målrettet lagring af data, som enten vedrører en specifik personkreds (som i teorien har en mere eller mindre direkte forbindelse til de mest alvorlige trusler) eller et bestemt geografisk område.

88.      Dette forslag medfører imidlertid visse vanskeligheder:

–      En identificering af en gruppe af potentielle lovovertrædere er sandsynligvis utilstrækkelig, hvis disse benytter sig af anonymisering eller forfalsker deres identitet. Udvælgelsen af disse grupper kan desuden føre til, at der indføres en ordning, hvorved visse segmenter af befolkningen generelt mistænkeliggøres, og som kan betegnes som diskriminerende, afhængig af den anvendte algoritme.

–      En udvælgelse på baggrund af geografiske kriterier (som for at være effektiv kræver, at alt for små områder ikke berøres) medfører de samme problemstillinger og tilføjer flere, således som Den Europæiske Tilsynsførende for Databeskyttelse nævnte i retsmødet, idet den risikerer at stigmatisere bestemte områder.

89.      Desuden kan der være en vis modsætning mellem den forebyggende karakter af en lagring, der er målrettet en specifik personkreds eller et bestemt geografisk område, og den omstændighed, at hverken gerningsmændene eller stedet eller tidspunktet for lovovertrædelsen er kendt på forhånd.

90.      Under alle omstændigheder kan det ikke udelukkes, at der findes løsninger til målrettet lagring, der bygger på disse kriterier, og som kan anvendes til at nå de førnævnte mål. Det tilkommer den lovgivende magt i den enkelte medlemsstat eller for hele Unionen at udtænke disse løsninger, som skal være forenelige med beskyttelsen af de grundlæggende rettigheder, som Domstolen vogter over.

91.      Det ville være fejlagtigt at tro, at en målrettet lagring af data, som vedrører en specifik personkreds eller et bestemt geografisk område, er den eneste løsning, som ifølge Domstolen er forenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8.

92.      Det er som nævnt muligt at finde andre former for målrettet lagring af data ud over de former, der fokuserer på specifikke grupper af personer eller geografiske områder. Denne opfattelse deles af Rådets arbejdsgrupper, som jeg tidligere har nævnt: Af andre løsninger, der kan undersøges, har de især nævnt begrænsning af kategorierne af data, der lagres (71), pseudonymisering af data (72), indførelse af begrænsede lagringsperioder (73), udelukkelse af bestemte kategorier af udbydere af elektroniske kommunikationstjenester (74), tilladelser til lagring, som kan forlænges (75), en pligt til at lagre dataene inden for Unionen, eller at en uafhængig administrativ myndighed foretager en systematisk og regelmæssig kontrol af de garantier, som udbydere af elektroniske kommunikationstjenester giver for, at dataene ikke misbruges.

93.      For at være forenelig med Domstolens praksis bør der efter min opfattelse foretrækkes en midlertidig lagring af nogle kategorier af trafik- og lokaliseringsdata, som er begrænsede i forhold til strenge sikkerhedsbehov, hvilke data i deres helhed ikke gør det muligt at opnå et præcist og detaljeret billede af de berørte personers liv.

94.      Dette betyder i praksis, at der med hensyn til de to hovedkategorier (trafikdata og lokaliseringsdata) ved hjælp af de rette filtre kun bør lagres de minimumsdata, som anses for absolut nødvendige med henblik på en effektiv forebyggelse af og kontrol med kriminalitet og på beskyttelse af den nationale sikkerhed.

95.      Det tilkommer medlemsstaterne eller EU-institutionerne ved lov at gennemføre denne udvælgelsesprocedure (med hjælp fra deres egne eksperter) og opgive ethvert forsøg på at indføre en generel og udifferentieret lagring af alle trafik- og lokaliseringsdata.

96.      Ud over denne begrænsning i form af kategorier kan de lagrede data kun lagres i en lagringsperiode, således at de ikke gør det muligt at forme et detaljeret billede af de berørte personers liv. Denne lagringsperiode bør desuden tilpasses efter dataenes karakter, således at de data, der giver mere præcise oplysninger om disse personers livsstil og vaner, lagres i en kortere periode (76).

97.      Differentieringen af lagringsperioden for de enkelte kategorier af data efter deres anvendelighed i forbindelse med indfrielsen af sikkerhedsmål er med andre ord en løsning, der bør undersøges. Ved at begrænse den periode, i hvilken de forskellige kategorier af data lagres samtidigt (og dermed kan anvendes til at finde sammenhænge, som viser de berørte personers livsstil), udvides beskyttelsen af den ret, som er sikret ved chartrets artikel 8.

98.      Den Europæiske Tilsynsførende for Databeskyttelse udtalte sig i samme retning i retsmødet: Jo flere kategorier af metadata, der lagres, og jo længere lagringsperioden er, desto lettere er det at skabe en detaljeret profil af en person, og omvendt (77).

99.      Som det fremgik af retsmødet, er det i øvrigt vanskeligt at finde grænsen mellem bestemte metadata i elektronisk kommunikation og indholdet af denne kommunikation. Nogle metadata kan være lige så eller mere afslørende end selve indholdet af denne kommunikation: Dette kan være tilfældet for adresser (URL) på besøgte websteder (78). Derfor bør der rettes en særlig opmærksomhed mod denne form for data og andre lignende former, således at behovet for, at de lagres, samt varigheden af denne lagring begrænses til det strengt nødvendige.

100. Det er ikke let at finde en afbalanceret løsning, eftersom den teknik, hvorved lagrede data krydses og sammenholdes, gør det muligt for efterforsknings- og overvågningstjenester at identificere en mistænkt eller en trussel alt efter omstændighederne. Der er imidlertid en væsentlig forskel på lagring af data med henblik på at opdage denne mistænkte eller trussel og lagring af data, der medfører, at der skabes et detaljeret portræt af en persons liv.

101. Mens der afventes en fælles lovgivning for hele Unionen på dette specifikke område, kan det efter min opfattelse ikke kræves af Domstolen, at den påtager sig lovgivningsmæssige opgaver og minutiøst angiver de kategorier af data, der kan lagres, samt tidsrummet for denne lagring. Når de grænser, som ifølge Domstolen følger af chartret, er fastsat, tilkommer det EU-institutionerne og medlemsstaterne at sætte krydset det rigtige sted og sikre en balance mellem beskyttelsen af sikkerheden og de grundlæggende rettigheder, som er sikret ved chartret.

102. Det forholder sig sådan, at det i visse tilfælde kan være mere vanskeligt at bekæmpe potentielle trusler, hvis der ses bort fra oplysninger, som kan udledes af et større antal lagrede data. Dette er dog en del af den pris, som de offentlige myndigheder bl.a. må betale, idet de samtidig er pålagt en pligt til at beskytte de grundlæggende rettigheder.

103. Ingen har opfordret til en forudgående pligt til generel og udifferentieret lagring af indholdet af privat elektronisk kommunikation (end ikke, når loven sikrer en efterfølgende begrænset adgang til dette indhold), og denne kommunikations metadata, som kan afspejle lige så følsomme oplysninger som selve indholdet, kan heller ikke gøres til genstand for en udifferentieret og generel lagring.

104. De lovgivningsmæssige vanskeligheder – som jeg anerkender – der er ved at opstille de præcise tilfælde og betingelser, hvorunder der kan ske en målrettet lagring, retfærdiggør ikke, at medlemsstaterne gør undtagelsen til en regel og omdanner generel lagring af personlige oplysninger til det centrale princip i deres lovgivninger. I så fald ville der gives tilladelse til et tidsubegrænset væsentligt indgreb i retten til beskyttelse af personoplysninger.

105. Det bør tilføjes, at der i reelle undtagelsestilfælde, som er kendetegnet ved en umiddelbar trussel eller ved en usædvanlig risiko, som berettiger, at der erklæres en nødsituation i en medlemsstat, intet er til hinder for, at den nationale lovgivning i en begrænset periode indeholder en mulighed for at indføre en pligt til lagring af data, som er så omfattende og generel, som det anses for at være nødvendigt.

106. I denne situation kan der vedtages en lovgivning, der specifikt tillader en mere omfattende lagring af data (samt adgang hertil) i overensstemmelse med betingelser og procedurer, der sikrer, at disse foranstaltninger har en ekstraordinær karakter for så vidt angår deres materielle rækkevidde og varighed, samt de relevante retslige garantier.

107. En komparativ analyse af de lovgivninger, der regulerer situationer, som udgør nødsituationer, viser, at det ikke er umuligt at afgrænse faktiske omstændigheder, der kan føre til anvendelse af en særlovgivning, som bestemmer, hvilken myndighed der kan træffe denne afgørelse, på hvilke betingelser og under hvilken form for tilsyn (79).

E.      De specifikke svar på de tre præjudicielle spørgsmål

1.      Indledende betragtninger

108. Den forelæggende ret har anmodet om en fortolkning af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med forskellige rettigheder, som er sikret ved chartret: retten til respekt for privatliv og familieliv (artikel 7), retten til beskyttelse af personoplysninger (artikel 8) og retten til ytrings- og informationsfrihed (artikel 11).

109. Som jeg anfører i mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18, er det netop disse rettigheder, som ifølge Domstolen risikerer at blive berørt i disse sager.

110. Cour constitutionnelle (forfatningsdomstol) har ikke desto mindre ligeledes henvist til chartrets artikel 4 og 6, som henholdsvis det andet og det første præjudicielle spørgsmål omhandler.

111. Med hensyn til chartrets artikel 6, som sikrer retten til frihed og sikkerhed, er den også blevet påberåbt i de forenede sager C-511/18 og C-512/18, og jeg har taget stilling til spørgsmålet om, hvorvidt den er relevant i det pågældende forslag til afgørelse, som jeg henviser til (80).

112. Eftersom svaret ikke afhænger af en analyse af den nationale lovgivning med henblik på en afvejning af denne mod EU-retten, men snarere af en fortolkning af chartrets artikel 4, er det efter min opfattelse hensigtsmæssigt at besvare dette spørgsmål først.

2.      Det andet præjudicielle spørgsmål

113. Henvisningen til forbuddet mod tortur og umenneskelig eller nedværdigende behandling eller straf, som er sikret ved chartrets artikel 4, forekommer kun i denne anmodning om præjudiciel afgørelse, og derfor bør der lægges vægt på dette aspekt.

114. Ved at henvise til chartrets artikel 4 ønsker den forelæggende ret at fremhæve, at den nationale bestemmelse også har til formål at opfylde den positive forpligtelse, der påhviler den offentlige myndighed, om at fastsætte »en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler« (81).

115. Denne konkrete positive forpligtelse adskiller sig efter min opfattelse ikke i væsentlig grad fra hver enkelt af de specifikke pligter, som proklamationen af et katalog over grundlæggende rettigheder medfører for staten. Retten til livet (chartrets artikel 2), til fysisk integritet (chartrets artikel 3) eller til beskyttelse af oplysninger (chartrets artikel 8) samt ytringsfriheden (chartrets artikel 11) eller retten til at tænke frit og til samvittigheds- og religionsfrihed (chartrets artikel 10) medfører for staten en forpligtelse til at vedtage en lovgivning, som sikrer en effektiv nydelse af disse rettigheder, om nødvendigt gennem en forvaltning af den offentlige myndigheds monopoliserede magt over for enhver, der forsøger at forhindre eller vanskeliggøre dette (82).

116. For så vidt angår seksuelt misbrug af mindreårige er Menneskerettighedsdomstolen af den opfattelse, at børn og andre sårbare personer har en kvalificeret ret til statens beskyttelse gennem vedtagelsen af strafferetlige bestemmelser, der sanktioner disse forbrydelser effektivt og med en afskrækkende virkning (83).

117. Denne kvalificerede ret til beskyttelse henhører ikke kun under chartrets artikel 4, eftersom det ville være naturligt at påberåbe artikel 1 (den menneskelige værdighed) eller artikel 3 (retten til fysisk og mental integritet).

118. Selv om der ikke kan ses bort fra de offentlige myndigheders positive forpligtelse til at sikre beskyttelsen af børn og andre sårbare personer (84), kan den heller ikke medføre »uforholdsmæssigt store byrder« for den offentlige myndighed (85) eller opfyldes uden lovlighed eller uden respekt for de øvrige grundlæggende rettigheder (86).

3.      Det første præjudicielle spørgsmål

119. Den forelæggende ret ønsker i det væsentlige oplyst, om EU-retten er til hinder for den nationale lov, som retten skal tage stilling til i forbindelse med en sag om forfatningsstridighed.

120. Idet Domstolen allerede har tilvejebragt en fortolkning af direktiv 2002/58, som er i overensstemmelse med de relevante bestemmelser i chartret, bør svaret på det præjudicielle spørgsmål tage højde for praksis fra dommen i sagen Tele2 Sverige og Watson, eventuelt med de nuancer, der tilføjes her.

121. På dette grundlag må de fortolkningsmæssige retningslinjer, som kan gives til Cour constitutionnelle (forfatningsdomstol), med henblik på at sidstnævnte selv foretager en undersøgelse af den nationale bestemmelses forenelighed med EU-retten, særskilt omhandle dels lagringen af, dels adgangen til data, således som disse er reguleret i denne nationale bestemmelse.

a)      Betingelserne for lagring af data

122. Den belgiske regering har fremhævet, at den ønskede at fastlægge en tydelig retlig ramme, der omfattede de nødvendige garantier for beskyttelsen af privatlivet, i stedet for at støtte sig på udbydere af elektroniske kommunikationstjenesters praksis vedrørende lagring af data med henblik på fakturering og behandling af anmodninger om oplysninger om kunderne.

123. Ifølge denne regering er den generelle og forebyggende forpligtelse til lagring af data ikke blot rettet mod undersøgelse, efterforskning og retsforfølgning af grov kriminalitet, men derimod også beskyttelse af den nationale sikkerhed, efterforskning, afsløring og retsforfølgning af andre former for kriminalitet end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer (87) eller ethvert andet formål, der er opregnet i artikel 23, stk. 1, i forordning 2016/679.

124. Den belgiske regering har anført følgende:

–      Lagring af data som sådan gør det ikke muligt at drage særdeles præcise konklusioner vedrørende de berørte personers privatliv: muligheden for at drage sådanne konklusioner foreligger kun, for så vidt som der også tilvejebringes adgang til de lagrede data.

–      Loven indeholder forbehold, der har til formål at beskytte privatlivets fred: F.eks. berører lagringen af data ikke indholdet af kommunikationen; garantierne med hensyn til begrundelsen for lagringen, retten til adgang, retten til berigtigelse m.fl. finder fuldt ud anvendelse; udbyderne og operatørerne skal underkaste de lagrede data de samme forpligtelser og sikkerheds- og beskyttelsesforanstaltninger, som finder anvendelse på data på nettet, og forhindre hændelig eller ulovlig tilintetgørelse eller hændeligt tab eller ændring.

–      Dataene kan lagres i 12 måneder (hvorefter de skal tilintetgøres) og kun på Den Europæiske Unions område.

–      Udbyderne og operatørerne skal anvende foranstaltninger vedrørende teknologisk beskyttelse, som, så snart de er registreret, gør de lagrede data ulæselige og ubrugelige for enhver, der ikke er berettiget til at få adgang til de pågældende data.

–      Disse operationer gennemføres under alle omstændigheder under det belgiske institut for post- og telekommunikationstjenesters og databeskyttelsesmyndighedens tilsyn.

125. På trods af disse garantier forholder det sig således, at den belgiske lovgivning pålægger operatører og udbydere af elektroniske kommunikationstjenester en generel og udifferentieret pligt til at lagre trafik- og lokaliseringsdata som omhandlet i direktiv 2002/58, som behandles i forbindelse med leveringen af disse tjenester. Lagringsperioden er som nævnt generelt på 12 måneder: Der er ikke fastsat en tidsbegrænsning afhængig af de enkelte kategorier af lagrede data.

126. Denne pligt til generel og udifferentieret lagring er varig og kontinuerlig. Selv om formålet med den er at forebygge, efterforske og retsforfølge alle former for kriminalitet (lige fra kriminalitet, der er forbundet med den nationale sikkerhed, forsvaret eller særligt grove lovovertrædelser, til kriminalitet, der kan medføre en fængselsstraf på mindre end et år), er en pligt af denne art ikke i overensstemmelse med Domstolens praksis og kan således ikke anses for at være forenelig med chartret.

127. For at tilpasse sig denne retspraksis må den belgiske lovgiver undersøge andre løsninger (som dem, jeg tidligere har nævnt), der indfører løsninger i form af begrænset lagring. Disse løsninger, som kan variere afhængig af de enkelte kategorier af data, skal overholde princippet om, at der kun må gemmes et minimum af data, som er nødvendigt i forhold til risikoen eller truslen, i en begrænset periode, som afhænger af de lagrede oplysningers art. Lagringen må under ingen omstændigheder give et præcist billede af de berørte personers privatliv, vaner, adfærd eller sociale relationer.

b)      Betingelserne for de offentlige myndigheders adgang til de lagrede data

128. Efter min opfattelse er de betingelser, der blev anført i dommen i sagen Tele2 Sverige og Watson (88), fortsat relevante, også for så vidt angår adgangen: Den nationale lovgivning skal fastsætte de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data (89).

129. Den belgiske regering har anført, at artikel 126, stk. 2, i lov af 2005 (om elektronisk kommunikation) (90) indeholder en restriktiv opregning af de nationale myndigheder, der kan modtage de lagrede data i overensstemmelse med samme artikels stk. 1.

130. Disse myndigheder omfatter egentlige judicielle myndigheder og anklagemyndigheden, statens sikkerhedsstyrker, den generelle efterretnings- og sikkerhedstjeneste, som kontrolleres af flere uafhængige udvalg, retshåndhævelsespersonale ved det belgiske institut for posttjenester og telekommunikation, beredskabstjenesterne, retshåndhævelsespersonale ved forbundspolitiets enhed for savnede personer, ombudstjenesten for telekommunikation og tilsynsmyndigheden for den finansielle sektor.

131. Den belgiske regering har generelt anført, at den nationale lovgivning ikke tillader, at forskellige tjenester får adgang til dataene med henblik på en aktiv efterforskning af trusler, som ikke er identificerede, eller for hvilke der ikke foreligger konkrete oplysninger. De nationale myndigheder kan således ikke uden videre tilgå de rå kommunikationsdata og behandle dem automatisk for at opnå oplysninger og aktivt forebygge farer for sikkerheden.

132. Ifølge den belgiske regering er adgangen til dataene underlagt strenge betingelser afhængig af de enkelte kompetente nationale myndigheders status.

133. Svaret på det første præjudicielle spørgsmål kræver efter min opfattelse ikke, at Domstolen foretager en udtømmende undersøgelse af de betingelser, der gælder for hver enkelt af disse myndigheders adgang til de lagrede data. Det tilkommer snarere den forelæggende ret at udføre denne opgave, hvilket skal ske i betragtning af retningslinjerne i praksis fra dommen i sagen Tele2 Sverige og Watson og Ministerio Fiscal-dommen.

134. Ifølge den belgiske regerings oplysninger er der i øvrigt væsentlige forskelle på de betingelser for adgang, som gælder for de judicielle myndigheder eller for anklagemyndigheden (91) med henblik på efterforskning, forundersøgelse og retsforfølgning af lovovertrædelser som omhandlet i strafferetsplejelovens artikel 46a (92) og artikel 88a (93), og de betingelser, der gælder for andre myndigheder.

135. For så vidt angår efterretnings- og sikkerhedstjenesterne følger det af lov af 1998, at begæringer om adgang til trafik- og lokaliseringsdata, som er i operatørernes besiddelse, skal bygge på objektive kriterier for at sikre, at adgangen er begrænset til det strengt nødvendige, på grundlag af en trussel, der er identificeret på forhånd (94). Der er fastsat forskellige frister for adgang (seks, ni eller tolv måneder) afhængig af den potentielle trussel, og påbuddet skal overholde proportionalitetsprincippet og nærhedsprincippet. Der er ligeledes blevet indført en kontrolordning, som varetages af en uafhængig myndighed (95).

136. Retshåndhævelsespersonalet ved det belgiske institut for posttjenester og telekommunikation (BIPT) har mulighed for at få adgang til data, som teleoperatørerne er i besiddelse af, under anklagemyndighedens tilsyn, i yderst begrænsede tilfælde (96), uden at de personer, hvis data er lagret, ifølge den belgiske regering underrettes om denne aktivitet.

137. For så vidt angår beredskabstjenester, der yder hjælp på stedet, kan de anmode om oplysninger for den, der har foretaget opkaldet, såfremt de efter et alarmopkald ikke fra den pågældende udbyder eller operatør kan få identifikationsoplysninger eller får ufuldstændige eller ukorrekte data.

138. Retshåndhævelsespersonale ved forbundspolitiets enhed for savnede personer kan anmode operatøren om de nødvendige oplysninger for at finde en savnet person, hvis fysiske integritet er i overhængende fare. Adgangen, som er underlagt strenge betingelser, er begrænset til data, der gør det muligt at identificere brugeren, og data vedrørende terminaludstyrets adgang og forbindelse til nettet og lokaliseringen af dette udstyr, og er begrænset til de data, som er blevet lagret i 48 timer inden anmodningen.

139. Ombudstjenesten for telekommunikation kan kun anmode om identifikationsoplysninger for en person, der har foretaget en fejlagtig anvendelse af et net eller en elektronisk kommunikationstjeneste. I dette tilfælde foretages der ikke en forudgående kontrol ved en judiciel myndighed eller en uafhængig administrativ myndighed (som ikke er Ombudstjenesten).

140. Med henblik på at bekæmpe finansiel kriminalitet kan tilsynsmyndigheden for den finansielle sektor endelig opnå adgang til trafik- og lokaliseringsdata, hvilken adgang forudsætter en forudgående tilladelse fra en undersøgelsesdommer.

141. Redegørelsen for disse former og betingelser for adgang til de lagrede data, som gælder for de enkelte myndigheder, som har tilladelse til at få adgang til dem, viser, at der findes en række forskellige tilfælde og former for beskyttelse, og det tilkommer den forelæggende ret at foretage en detaljeret undersøgelse af, om disse tilfælde og former for beskyttelse er forenelige med de kriterier, som Domstolen har anvendt i sin praksis (97).

142. Jeg har f.eks. noteret mig, at det i forbindelse med den omtvistede lovgivning ikke forekommer, at de kompetente nationale myndigheder har pligt til systematisk at underrette de berørte personer (medmindre denne oplysning skader igangværende efterforskninger) om, at deres data er blevet tilgået. Det forekommer heller ikke, at der, i det mindste i nogle tilfælde som f.eks. i forbindelse med finansielle lovovertrædelser, indføres forud fastsatte regler om disse overtrædelsers grovhed for at begrunde adgangen til de pågældende data. Forholdet mellem intensiteten af indgrebet og graden af alvor med henblik på den undersøgte forbrydelse som omhandlet i Ministerio Fiscal-dommen fremgår ikke klart i alle tilfældene.

143. Jeg er under alle omstændigheder af den opfattelse, at overvejelserne om myndighedernes adgang til dataene træder i baggrunden, når selve den generelle og udifferentierede adgang til disse, således som det fremgår af det ovenstående, er hovedårsagen til, at den nationale lovgivning, som er omhandlet i denne forelæggelse, ikke er i overensstemmelse med EU-retten.

4.      Det tredje præjudicielle spørgsmål

144. Cour constitutionnelle (forfatningsdomstol) ønsker oplyst, om det, såfremt det i betragtning af Domstolens svar fastslås, at den nationale lovgivning er uforenelig med EU-retten, er muligt at opretholde virkningerne af denne lovgivning midlertidigt. Dette ville undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de forfulgte mål.

145. Det er Domstolens faste praksis, at »det alene er Domstolen, der undtagelsesvis og af tvingende retssikkerhedsmæssige hensyn kan træffe bestemmelse om en midlertidig suspension af den fortrængende virkning, som en EU-bestemmelse har i forhold til national ret, der er i strid hermed«. »Hvis nationale retsinstanser havde beføjelse til at give nationale bestemmelser forrang for EU-retten, der er til hinder for sådanne bestemmelser, også selv om det blot er midlertidigt, ville nemlig det være til skade for den ensartede anvendelse af EU-retten« (98).

146. Eftersom Domstolen ikke har begrænset den tidsmæssige virkning af fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, bør dette spørgsmål fra den forelæggende ret ifølge Kommissionen besvares benægtende (99).

147. Alligevel fastslog Domstolen i dom af 28. februar 2012, Inter-Environnement Wallonie og Terre wallonne (100), at en national domstol i betragtning af, at der foreligger et tvingende hensyn til miljøbeskyttelsen, undtagelsesvis kan gøre brug af den nationale bestemmelse, der giver den mulighed for at opretholde virkningerne af en national retsakt, som den har erklæret ugyldig på grund af tilsidesættelse af en EU-retlig bestemmelse (101).

148. Denne retspraksis er blevet bekræftet ved dom af 29. juli 2019, Inter-Environnement Wallonie og Bond Beter Leefmilieu Vlaanderen (102). Selv om dommen vedrørte miljøbeskyttelse og støttede sig på forsyningssikkerheden med elektricitet, ser jeg ikke nogen grund til at afvise, at den finder anvendelse på andre områder af EU-retten, navnlig det i denne sag omhandlede.

149. Den omstændighed, at et »tvingende hensyn til miljøbeskyttelsen« undtagelsesvis kan begrunde, at de nationale retter opretholder visse virkninger af en national bestemmelse, der er uforenelig med EU-retten, skyldes, at miljøbeskyttelse udgør »et af Unionens væsentligste tværgående og grundlæggende mål« (103).

150. Unionens mål omfatter bl.a. også at skabe et område med sikkerhed (artikel 3, TEU), som omfatter respekt for de centrale statslige funktioner, herunder opretholdelse af lov og orden samt beskyttelse af den nationale sikkerhed (artikel 4, stk. 2, TEU). Det er et mål, som ikke er mindre »tværgående og grundlæggende« end miljøbeskyttelsen, eftersom dets indfrielse er en forudsætning for, at der kan indføres en retlig ramme, der er i stand til at sikre en effektiv nydelse af de grundlæggende rettigheder og frihedsrettigheder.

151. Efter min opfattelse kan tvingende hensyn til beskyttelsen af den nationale sikkerhed i denne sag begrunde, at Domstolen undtagelsesvis giver den forelæggende ret tilladelse til at opretholde i det mindste nogle af virkningerne af den omtvistede lov.

152. Denne opretholdelse kræver, at den forelæggende ret i betragtning af Domstolens afgørelse fastslår, at den nationale bestemmelse er uforenelig med EU-retten, og vurderer, at de følger, som en øjeblikkelig annullation (hvis annullation i henhold til national ret er en konsekvens af denne uforenelighed) eller en manglende anvendelse heraf kan have for den offentlige sikkerhed eller statens sikkerhed, er yderst forstyrrende.

153. En midlertidig opretholdelse af (alle eller en del af) virkningerne af den nationale bestemmelse kræver desuden, at

–      formålet med denne forlængelse er at undgå et retligt tomrum, som har lige så skadelige virkninger som virkningerne af at anvende den omtvistede lovgivning, hvilket tomrum er umuligt at håndtere ved hjælp af andre midler og medfører, at de nationale myndigheder mister et værdifuldt redskab til at garantere statens sikkerhed, og at

–      den gør sig gældende i en tidsperiode, som er begrænset til det strengt nødvendige til vedtagelse af foranstaltninger, der kan afhjælpe den konstaterede uforenelighed med EU-retten (104).

154. Den omstændighed, at det er vanskeligt at indrette nationale regler efter den praksis, der følger af dommen i sagen Tele2 Sverige og Watson (105), samt at den belgiske lovgivers hensigt om at foretage en tilpasning efter Digital Rights-dommen førte til ændring af landets egen lovgivning, taler desuden for denne løsning. Dette fortilfælde antyder, at lov af 29. maj 2016 (som blev vedtaget inden dommen i sagen Tele2 Sverige og Watson) ligeledes bør tilpasses til praksis fra sidstnævnte dom.

V.      Forslag til afgørelse

155. På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Cour constitutionnelle (forfatningsdomstol, Belgien) forelagte spørgsmål således:

»1)      Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

–        Den er til hinder for en national lovgivning, som pålægger operatører og udbydere af elektroniske kommunikationstjenester en pligt til generelt og udifferentieret at lagre trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og brugere i forbindelse med samtlige midler til elektronisk kommunikation.

–        Ovenstående berøres ikke af den omstændighed, at denne nationale lovgivning ikke blot har efterforskning, afsløring og retsforfølgning af grov eller ikke grov kriminalitet til formål, men derimod også den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller et andet formål i henhold til artikel 23, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

–        Ovenstående berøres heller ikke af den omstændighed, at adgangen til lagrede data er undergivet præcise lovgivningsmæssige garantier. Det tilkommer den forelæggende ret at efterprøve, om den nationale lovgivning, der regulerer betingelserne for de kompetente myndigheders adgang, begrænser den til de specifikke tilfælde, hvis grad af alvor gør det nødvendigt at foretage et indgreb, betinger den af en forudgående kontrol (undtagen i hastende tilfælde) fra en retsinstans eller en uafhængig myndighed, og foreskriver, at de berørte personer underrettes om denne adgang, såfremt denne underretning ikke bringer disse myndigheders indsats i fare.

2)      Artikel 4 og 6 i Den Europæiske Unions charter om grundlæggende rettigheder berører ikke fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med de øvrige førnævnte artikler i chartret, således at de forhindrer, at det fastslås, at en national lovgivning som den i hovedsagen omtvistede er uforenelig med EU-retten.

3)      En national retsinstans kan, hvis dette er tilladt i henhold til national ret, undtagelsesvis og midlertidigt opretholde virkningerne af en lovgivning som den i hovedsagen omhandlede, selv om den er uforenelig med EU-retten, såfremt denne opretholdelse er begrundet i tvingende hensyn vedrørende trusler mod den offentlige sikkerhed eller den nationale sikkerhed, som ikke er mulige at håndtere ved hjælp af andre midler eller alternativer. Nævnte opretholdelse kan kun omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe den pågældende uforenelighed med EU-retten.«


1 –      Originalsprog: spansk.


2 –      Forenede sager C-293/12 og C-594/12 (herefter »Digital Rights-dommen«) (EU:C:2014:238).


3 –      Europa-Parlamentets og Rådets direktiv af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54).


4 –      Forenede sager C-203/15 og C-698/15 (herefter »dommen i sagen Tele2 Sverige og Watson«) (EU:C:2016:970).


5 –      Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).


6 –      Sag C-207/16 (herefter »Ministerio Fiscal-dommen«) (EU:C:2018:788).


7 –      Ud over den foreliggende anmodning (sag C-520/18, Ordre des barreaux francophones et germanophone m.fl.) drejer det sig om forenede sager C-511/18 og C-512/18, La Quadrature du Net m.fl., og sag C-623/17, Privacy International.


8 –      Privacy International-sagen (C-623/17).


9 –      Sagen Ordre des barreaux francophones et germanophone m.fl. (C-520/18).


10 –      La Quadrature du Net m.fl. (forenede sager C-511/18 og C-512/18).


11 –      Lov af 29.5.2016 om indsamling og lagring af data i den elektroniske kommunikationssektor (herefter »lov af 29. maj 2016«) (Moniteur belge af 18.7.2016, s. 44717).


12 –      Lov af 13.6.2005 om elektronisk kommunikation (herefter »lov af 2005«) (Moniteur belge af 20.6.2005, s. 28070).


13 –      Lov af 30.11.1998 om efterretnings- og sikkerhedstjenester (herefter »lov af 1998«) (Moniteur belge af 18.12.1998, s. 40312).


14 –      Dom nr. 84/2015, Moniteur belge af 11.8.2015.


15 –      Punkt 40 ff.


16 –      Europa-Parlamentet og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31). Jf. artikel 1, stk. 2, i direktiv 2002/58. Direktiv 95/46 blev med virkning fra den 25.5.2018 ophævet ved forordning nr. 2016/679. For så vidt som direktiv 2002/58 henviser til direktiv 95/46 eller ikke fastsætter egne bestemmelser, må denne forordnings bestemmelser (jf. artikel 94, stk. 1 og 2, i forordning nr. 2016/679) således tages i betragtning.


17 –      Dommen i sagen Tele2 Sverige og Watson, præmis 82 og 83.


18 –      Ibidem, præmis 85 og den deri nævnte retspraksis.


19 –      Ibidem, præmis 87. Min fremhævelse.


20 –      Ibidem, præmis 86 og den deri nævnte retspraksis.


21 –      Ibidem, præmis 86 in fine.


22 –      Ibidem, præmis 90.


23 –      Ibidem, præmis 91 og den deri nævnte retspraksis.


24 –      Ibidem, præmis 93 og den deri nævnte retspraksis.


25 –      Ibidem, præmis 89.


26 –      Brugen af dette adjektiv i dommen i sagen Tele2 Sverige og Watson, præmis 95, stammer fra 11. betragtning til direktiv 2002/58.


27 –      Digital Rights-dommen, præmis 48: »I det foreliggende tilfælde er EU-lovgivers skønsbeføjelse, henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels rækkevidden og alvoren af det indgreb i denne ret, som direktiv 2006/24 indebærer, begrænset, hvorfor der skal foretages en streng efterprøvelse.«


28 –      Dommen i sagen Tele2 Sverige og Watson, præmis 96 og den deri nævnte retspraksis.


29 –      Digital Rights-dommen, præmis 51. Jf. i samme retning dommen i sagen Tele2 Sverige og Watson, præmis 103.


30 –      Digital Rights-dommen, præmis 65, og dommen i sagen Tele2 Sverige og Watson, præmis 100.


31 –      Dommen i sagen Tele2 Sverige og Watson, præmis 97. Min fremhævelse.


32 –      Omfatter bl.a. navn og adresse på abonnenten eller den registrerede bruger, telefonnummer på den, der foretager opkaldet, og det kaldte nummer samt for internettjenester en IP-adresse.


33 –      Dommen i sagen Tele2 Sverige og Watson, præmis 98.


34 –      Ibidem, præmis 98.


35 –      Ibidem, præmis 99.


36 –      Ibidem, præmis 99 in fine.


37 –      Ibidem, præmis 100.


38 –      Ibidem, præmis 102.


39 –      Ibidem, præmis 104.


40 –      Ibidem, præmis 105.


41 –      Ibidem, præmis 106.


42 –      Ibidem, præmis 105.


43 –      Ibidem, præmis 106.


44 –      Ibidem, præmis 107.


45 –      Ibidem, præmis 108. Min fremhævelse.


46 –      Ibidem, præmis 109. Medlemsstaterne skal navnlig angive, »under hvilke omstændigheder og på hvilke betingelser der i forebyggende øjemed kan vedtages en foranstaltning om lagring af data, hvorved det sikres, at en sådan foranstaltning begrænses til det strengt nødvendige«.


47 –      Ibidem, præmis 110.


48 –      Ibidem, præmis 111.


49 –      Ibidem, præmis 113.


50 –      Ibidem, præmis 115.


51 –      Ibidem, præmis 116.


52 –      Ibidem, præmis 117.


53 –      Ibidem, præmis 118.


54 –      Ibidem, præmis 119.


55 –      Ibidem.


56 –      Ibidem. Min fremhævelse.


57 –      Ibidem.


58 –      Ud over terrorvirksomhed kan denne undtagelse begrundes i andre tilfælde som f.eks. et stort cyberangreb mod statens kritiske infrastruktur eller en trussel i forbindelse med nuklear spredning.


59 –      Dommen i sagen Tele2 Sverige og Watson, præmis 120.


60 –      Ibidem, præmis 121.


61 –      Ibidem, præmis 122.


62 –      Ministerio Fiscal-dommen, præmis 53.


63 –      Ibidem, præmis 56.


64 –      Ibidem, præmis 57.


65 –      Ibidem, præmis 59. Der var tale om adgang til »de telefonnumre, der svarer til disse SIM-kort, samt på data om identiteten på indehaverne af de nævnte kort, såsom deres efternavn, fornavn og eventuelt adresse. Disse data omfatter derimod, som både den spanske regering og anklagemyndigheden bekræftede i retsmødet, hverken kommunikationen foretaget med den stjålne mobiltelefon eller lokaliseringen heraf«.


66 –      Ibidem, præmis 60.


67 –      Ministerio Fiscal-dommen, præmis 49.


68 –      Medlemsstaterne har siden 2017 deltaget i en arbejdsgruppe, som har til formål at tilpasse deres lovgivninger til de kriterier, der er fastsat i Domstolens praksis på dette område (Gruppen vedrørende Udveksling af Oplysninger og Databeskyttelse (DAPIX)).


69 –      Fastsættelsen af disse efterforskningsteknikker og vurderingen af deres effektivitet henhører under alle omstændigheder under medlemsstaternes skønsmargen.


70 –      Digital Rights-dommen, præmis 57, og dommen i sagen Tele2 Sverige og Watson, præmis 105.


71 –      Data, som ikke er strengt og objektivt nødvendige med henblik på forebyggelse og retsforfølgning af lovovertrædelser og beskyttelse af den offentlige sikkerhed, er udelukket fra pligten til lagring. Det bør i overensstemmelse med det forfulgte mål navnlig anføres, hvilke former for abonnentdata, trafikdata og lokaliseringsdata der nødvendigvis må lagres for at nå dette mål. Navnlig data, som ikke vurderes at være nødvendige i forbindelse med efterforskningen og retsforfølgningen af lovovertrædelserne, er udelukket.


72 –      En metode, hvorved navne erstattes med et alias, og dataene dermed ikke er knyttet til et navn. Til forskel fra anonymisering gør pseudonymisering det muligt at knytte dataene til den berørte persons navn igen.


73 –      Det kunne være værd at undersøge muligheden for at tilpasse lagringsperioderne efter de forskellige datakategorier og i denne forbindelse tage højde for lagringens mere eller mindre indgribende karakter med hensyn til personernes privatliv. Desuden må det sikres, at dataene slettes permanent efter udløbet af lagringsperioden.


74 –      Det er også muligt ikke at pålægge alle udbydere af elektroniske kommunikationstjenester en pligt til at lagre data, men derimod indføre denne pligt afhængig af deres størrelse og af den type tjenester, som de udbyder, og f.eks. udelukke de aktører, der udbyder højt specialiserede tjenester.


75 –      Tilladelsesordningerne kunne støtte sig på periodiske trusselsvurderinger i de enkelte medlemsstater. Det må sikres, at der er en forbindelse mellem de lagrede data og det forfulgte mål, og at den tilpasses til den specifikke situation i hver enkelt medlemsstat. Derfor er det muligt, at de tilladelser til lagring, som udbyderne indrømmes, kan medføre lagring af bestemte typer data i en bestemt periode afhængig af trusselsvurderingen. Disse tilladelser kan indrømmes af en dommer eller en uafhængig administrativ myndighed og indebærer en periodisk efterprøvelse af, om denne lagring er nødvendig.


76 –      Dette er tilsyneladende den ordning, der anvendes i Forbundsrepublikken Tyskland, hvis regering i retsmødet anførte, at dens lovgivning foreskriver en opbevaringsfrist for trafikdata på ti uger, mens opbevaringsfristen for lokaliseringsdata i henhold til denne lovgivning blot er fire uger. Omvendt er det ifølge Den Franske Republik nødvendigt, at trafik- og lokaliseringsdata lagres i et år. Ifølge sidstnævnte medlemsstat vil en nedsættelse af denne frist til mindre end et år medføre en forringelse af effektiviteten af kriminalpolitiets arbejde.


77 –      Det må naturligvis sikres, at udbyderne af elektroniske kommunikationstjenester permanent sletter dataene efter udløbet af lagringsperioden (med undtagelse af de data, som de fortsat kan opbevare i forretningsmæssigt øjemed i overensstemmelse med direktiv 2002/58).


78 –      I retsmødet bekræftede den franske regering, at URL-adresser var udelukket fra de forbindelsesdata, med hensyn til hvilke lovgivningen har fastlagt en generel lagringspligt.


79 –      B. Ackerman, »The Emergency Constitution«, Yale Law Journal, bind 113, 2004, s. 1029-1092; J. Ferejohn og P. Pasquino, »The Law of the Exception: A typology of Emergency Powers«, International Journal of Constitutional Law, bind 2, 2004, s. 210-239.


80 –      Forslag til afgørelse i de forenede sager C-511/18 og C-512/18, punkt 95 ff.


81 –      Ordlyden af det andet spørgsmål in fine. Denne henvisning til elektroniske kommunikationsmidler forklarer, at spørgsmålet nævner en anden positiv forpligtelse, som påhviler medlemsstaterne, nemlig den forpligtelse, der følger af chartrets artikel 8 med hensyn til beskyttelsen af personoplysninger. Den dobbelte henvisning til chartrets artikel 8 viser, at den forelæggende ret tillægger rettighederne en dobbelt funktion afhængig af deres natur: De udgør en grænse for den omtvistede pligt og en begrundelse for denne pligt.


82 –      Dette krav om effektivitet udmønter sig i en resultatforpligtelse for den offentlige myndighed i velfærds- eller ydelsesstaten, og ud over den formelle anerkendelse af rettighederne er den praktiske gennemførelse af deres materielle indhold vigtig.


83 –      Menneskerettighedsdomstolens dom af 2.12.2008, K.U. mod Finland, (CE:ECHR:2008:1202JUD000287202, § 46).


84 –      I denne forbindelse er jeg af den opfattelse, at de rettigheder, som den forelæggende ret har henvist til (som grænser for den omtvistede pligt og ikke som en begrundelse for den), kan suppleres med retten til adgang til effektive retsmidler (chartrets artikel 47) eller retten til et forsvar (chartrets artikel 48), hvis mulige krænkelse også er blevet diskuteret i hovedsagerne. Forelæggelsesafgørelsens dispositive del nævner imidlertid kun chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1.


85 –      Menneskerettighedsdomstolens dom af 28.10.1998, Osman mod Det Forenede Kongerige (CE:ECHR:1998:1028JUD002345294, § 116).


86 –      Ibidem, § 116 in fine: »Det er nødvendigt at sikre, at politiet udøver sin beføjelse til at bekæmpe og forebygge kriminalitet med fuld respekt for de retlige procedurer og de øvrige garantier, som legitimt begrænser rækkevidden af dets handlinger i forbindelse med den strafferetlige efterforskning.« Jf. ligeledes Menneskerettighedsdomstolens dom af 2.12.2008, K.U. mod Finland (CE:ECHR:2008:1202JUD000287202, § 48). Domstolen har i samme retning i dom af 29.7.2019, Gambino og Hyka (C-38/18, EU:C:2019:628, præmis 49), fastslået, at offerets rettigheder ikke kan berøre den tiltaltes effektive nydelse af sine rettigheder.


87 –      Den er ligeledes begrundet i formål om at skulle kunne følge op på et opkald til en alarmtjeneste eller at søge efter en savnet person, hvis fysiske integritet er i overhængende fare.


88 –      Jf. punkt 60 i dette forslag til afgørelse.


89 –      Dommen i sagen Tele2 Sverige og Watson, præmis 118.


90 –      Artikel 126, som affattet ved lov af 29.5.2016.


91 –      Spørgsmålet om, hvorvidt anklagemyndigheden er egnet til at træffe foranstaltninger af denne art, er genstand for anmodningen om præjudiciel afgørelse i sag C-746/18, H.K. mod Anklagemyndigheden, som stadig verserer.


92 –      Anklagemyndigheden har kompetence til at begære identifikationsoplysninger fra operatørerne på grundlag af en begrundet og skriftlig afgørelse (eller mundtligt i hastende tilfælde), som dokumenterer, at foranstaltningen er forholdsmæssig i forhold til overholdelsen af retten til respekt for privatlivet og er subsidiær i forhold til enhver anden efterforskningsforpligtelse. For overtrædelser, der ikke kan medføre en fængselsstraf på et år eller mere, kan den offentlige anklager kun anmode om dataene for en periode på seks måneder forud for den offentlige anklagers afgørelse.


93 –      Undersøgelsesdommeren har kompetence til at begære sporing af elektronisk kommunikation eller lagrede trafik- og lokaliseringsdata og kan træffe denne foranstaltning, hvis der foreligger seriøse indicier på en overtrædelse, der kan medføre bestemte straffe, ved en begrundet og skriftlig kendelse (eller mundtligt i hastende tilfælde), som er underlagt de samme krav om forholdsmæssighed og subsidiaritet som dem, der gælder for anklagemyndigheden. Der er visse undtagelser, når foranstaltningerne er rettet mod bestemte beskyttede erhverv (f.eks. advokater og læger).


94 –      Afgørelsen angiver, efter omstændighederne, de fysiske eller juridiske personer, sammenslutninger eller grupper, formål, lokaliteter, begivenheder eller oplysninger, der er omfattet af den specifikke metode. Den skal ligeledes angive forbindelsen mellem formålet med de begærede oplysninger og den potentielle trussel, der begrunder den specifikke metode.


95 –      Den administrative kommission, der fører tilsyn med specifikke og særlige metoder for efterretnings- og sikkerhedstjenesters indsamling af oplysninger (Commission BIM), og den stående komité for tilsyn med efterretningstjenesterne (Comité R). Den belgiske regering har anført, at Commission BIM er ansvarlig for at følge op på de søgemetoder, som efterretnings- og sikkerhedstjenesterne anvender, og som kommissionen gennemfører en første kontrol med. Denne kommission, som er sammensat af dommere, udfører sine opgaver fuldstændigt uafhængigt. Der føres også en uafhængig anden kontrol, som forestås af Comité R.


96 –      Følgende er tilladt: efterforskning, undersøgelse og retsforfølgning af de lovovertrædelser, der er nævnt i artikel 114 (netsikkerhed), artikel 124 (fortrolighed i forbindelse med elektronisk kommunikation) og artikel 126 (lagring af data og adgang) i lov af 13.6.2005 om elektronisk kommunikation.


97 –      Jf. punkt 60 i dette forslag til afgørelse.


98 –      Dom af 28.7.2016, Association France Nature Environnement (C-379/15, EU:C:2016:603, præmis 33).


99 –      Punkt 100 i Kommissionens skriftlige indlæg.


100 –      Sag C-41/11 (EU:C:2012:103).


101 –      Dom af 28.2.2012, Inter-Environnement Wallonie og Terre wallonne (C-41/11, EU:C:2012:103, præmis 58). I dom af 28.7.2016, Association France Nature Environnement (C-379/15, EU:C:2016:603, præmis 34), udledte Domstolen af denne konstatering en »hensigt, i det enkelte tilfælde og undtagelsesvis, [om] at give en national ret mulighed for [...] at tilpasse virkningerne af, at en national bestemmelse, der er fastslået at være uforenelig med EU-retten, annulleres«.


102 –      Sag C-411/17 (EU:C:2019:622, præmis 178).


103 –      Dom af 28.2.2012, Inter-Environnement Wallonie og Terre wallonne (C-41/11, EU:C:2012:103, præmis 57).


104 –      Dom af 28.2.2012, Inter-Environnement Wallonie og Terre wallonne (C-41/11, EU:C:2012:103, præmis 62).


105 –      Punkt 45 i den danske regerings skriftlige indlæg.