Language of document : ECLI:EU:C:2016:970

Forenede sager C-203/15 og C-698/15

Tele2 Sverige ABmodPost- och telestyrelsen

og

Secretary of State for the Home DepartmentmodTom Watson m.fl.

(anmodninger om præjudiciel afgørelse indgivet af Kammarrätten i Stockholm og Court of Appeal (England & Wales) (Civil Division))

»Præjudiciel forelæggelse – elektronisk kommunikation – behandling af personoplysninger – fortrolighed i forbindelse med elektronisk kommunikation – beskyttelse – direktiv 2002/58/EF – artikel 5, 6 og 9 samt artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 11 samt artikel 52, stk. 1 – national lovgivning – udbydere af elektroniske kommunikationstjenester – pligt vedrørende generel og udifferentieret lagring af trafikdata og lokaliseringsdata – nationale myndigheder – adgang til data – ingen forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed – forenelighed med EU-retten«

Sammendrag – Domstolens dom (Store Afdeling) af 21. december 2016

1.        Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – anvendelsesområde – retsforskrift, der pålægger udbydere af elektroniske kommunikationstjenester at lagre trafikdata og lokaliseringsdata vedrørende brugerne – omfattet

(Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 5, stk. 1, og art. 15, stk. 1)

2.        Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – streng fortolkning – hensyn, der kan begrunde vedtagelsen af en indskrænkning – udtømmende

(Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 5, stk. 1, og art. 15, stk. 1)

3.        Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – national lovgivning, der med henblik på bekæmpelsen af kriminalitet foreskriver en generel og udifferentieret lagring af trafikdata og lokaliseringsdata vedrørende brugerne – ikke tilladt – alvorligt indgreb i retten til respekt for privatlivet, retten til beskyttelse af personoplysninger og ytringsfriheden

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk. 1)

4.        Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – national lovgivning, der med henblik på bekæmpelse af grov kriminalitet muliggør en målrettet lagring af trafikdata og lokaliseringsdata vedrørende brugerne – tilladt – betingelser

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk.1)

5.        Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdataene vedrørende brugerne – mulighed for de nationale myndigheder til at få adgang til de nævnte data uden forudgående domstolskontrol eller administrativ kontrol – ikke tilladt – ingen forpligtelse for udbyderne af elektroniske kommunikationstjenester til at lagre disse data på Unionens område – ikke tilladt

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 95/46, art. 22, og 2002/58, som ændret ved direktiv 2009/136, art. 15, stk. 1 og 2)

6.        Grundlæggende rettigheder – den europæiske menneskerettighedskonvention – instrument, der ikke er formelt integreret i Unionens retsorden

(Art. 6, stk. 3, TEU; Den Europæiske Unions charter om grundlæggende rettigheder, art. 52, stk. 3)

7.        Præjudicielle spørgsmål – Domstolens kompetence – grænser – generelle eller hypotetiske spørgsmål – spørgsmål, der er abstrakt og rent hypotetisk i forhold til tvisten i hovedsagens genstand – afvisning

(Art. 267 TEUF)

1.      Artikel 15, stk. 1, i direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved direktiv 2009/136, gør det muligt for medlemsstaterne under iagttagelse af de i direktivet fastsatte betingelser at vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i direktivets artikel 5, artikel 6, artikel 8, stk. 1-4, og artikel 9.

Denne bestemmelses anvendelsesområde omfatter navnlig en retsforskrift, der pålægger udbydere af elektroniske kommunikationstjenester at lagre trafikdata og lokaliseringsdata, idet en sådan virksomhed nødvendigvis indebærer, at udbyderne behandler personoplysninger. Det nævnte anvendelsesområde omfatter ligeledes en retsforskrift, der vedrører de nationale myndigheders adgang til de data, som lagres af de nævnte udbydere. Den ved artikel 5, stk. 1, i direktiv 2002/58 sikrede beskyttelse af fortroligheden i forbindelse med den elektroniske kommunikation og de dermed forbundne trafikdata finder nemlig anvendelse på de foranstaltninger, som træffes af andre end brugerne, hvad enten der er tale om private personer eller enheder eller statslige enheder.

(jf. præmis 71 og 75-77)

2.      Artikel 15, stk. 1, i direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved direktiv 2009/136, gør det muligt for medlemsstaterne at indføre undtagelser til såvel den i direktivets artikel 5, stk. 1, fastsatte principielle pligt til at sikre kommunikationshemmeligheden af personoplysninger som de tilsvarende forpligtelser, der bl.a. er fastsat i direktivets artikel 6 og 9. For så vidt som artikel 15, stk. 1, i direktiv 2002/58 gør det muligt for medlemsstaterne at begrænse rækkevidden af den nævnte principielle pligt, skal bestemmelsen imidlertid fortolkes strengt. En sådan bestemmelse kan derfor ikke begrunde, at en fravigelse af denne principielle pligt og navnlig af det i direktivets artikel 5 fastsatte forbud mod at lagre disse data bliver hovedreglen, idet rækkevidden af den sidstnævnte bestemmelse ellers i høj grad ville blive udhulet.

I denne henseende fastsætter artikel 15, stk. 1, første punktum, i direktiv 2002/58, at de retsforskrifter, som bestemmelsen vedrører, og som udgør en fravigelse af princippet om, at kommunikationen og de dermed forbundne trafikdata skal være hemmelige, skal vedtages af hensyn til den nationale sikkerhed – dvs. statens sikkerhed – forsvaret, den offentlige sikkerhed, eller af hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem eller af andre hensyn, der er fastsat i artikel 13, stk. 1, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. En sådan opregning af hensyn er udtømmende, således som det fremgår af sidstnævnte direktivs artikel 15, stk. 1, andet punktum, hvoraf det fremgår, at retsforskrifterne skal være begrundet i et af de hensyn, der er nævnt i det nævnte direktivs artikel 15, stk. 1, første punktum. Medlemsstaterne kan dermed ikke vedtage sådanne forskrifter af andre hensyn end dem, der er opregnet i den sidstnævnte bestemmelse.

(jf. præmis 88-90)

3.      Artikel 15, stk. 1, i direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation.

Sådanne data vil nemlig tilsammen kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer. Særligt gør disse data det muligt at lave en profil af de berørte personer, hvilken oplysning, henset til retten for respekt af privatlivet, er lige så følsom som selve indholdet af kommunikationen. Det indgreb i de grundlæggende rettigheder fastslået i chartrets artikel 7 og 8, som en sådan lovgivning indebærer, er meget vidtrækkende og må anses for at være særligt alvorligt. Den omstændighed, at lagringen af data finder sted, uden at brugerne af de elektroniske kommunikationstjenester oplyses herom, er egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning. Selv om en sådan lovgivning ikke tillader lagring af indholdet af en elektronisk kommunikation og derfor ikke kan indebære en krænkelse af det væsentligste indhold af disse rettigheder, kan lagringen af trafikdata og lokaliseringsdata imidlertid have en indvirkning på brugen af de elektroniske kommunikationsmidler, og følgelig på brugerne af disse midlers udøvelse af deres ytringsfrihed, som er sikret ved chartrets artikel 11.

Henset til alvoren af det indgreb i de omhandlede grundlæggende rettigheder, som udgøres af en sådan national lovgivning, er det alene bekæmpelse af grov kriminalitet, som kan begrunde en sådan foranstaltning Selv om effektiviteten af bekæmpelsen af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker, kan et sådant mål af almen interesse, hvor grundlæggende det end er, imidlertid ikke i sig selv begrunde, at en national lovgivning, der foreskriver en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata, anses for nødvendig af hensyn til den nævnte bekæmpelse. En sådan lovgivning bevirker for det første, at lagringen af trafikdata og lokaliseringsdata er hovedreglen, mens den ved direktiv 2002/58 indførte ordning opstiller et krav om, at denne lagring af data skal være undtagelsen. For det andet foreskriver en sådan national lovgivning, der omfatter alle abonnenter og registrerede brugere generelt, og som er rettet mod alle elektroniske kommunikationsmidler og samtlige trafikdata, ingen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål. Den finder anvendelse selv på personer, for hvis vedkommende der ikke findes noget som helst indicium for, at deres adfærd kan have – selv en indirekte eller fjern – forbindelse til grove straffelovsovertrædelser. En sådan national lovgivning overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1.

(jf. præmis 99-105, 107 og 112 samt domskonkl. 1)

4.      Artikel 15, stk. 1, i direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, er ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.

Denne nationale lovgivning skal for at opfylde disse krav for det første fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af en sådan foranstaltning om lagring af data, og som opstiller en række mindstekrav, således at de personer, hvis data er blevet lagret, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der i forebyggende øjemed kan vedtages en foranstaltning om lagring af data, hvorved det sikres, at en sådan foranstaltning begrænses til det strengt nødvendige.

Hvad for det andet angår de materielle betingelser, som en sådan national lovgivning skal opfylde, for at det sikres, at den er begrænset til det strengt nødvendige, bemærkes, at selv om sådanne betingelser kan variere i forhold til de foranstaltninger, der træffes med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af grov kriminalitet, skal lagringen af disse data ikke desto mindre altid opfylde objektive kriterier, som fastlægger et forhold mellem de data, der skal lagres, og det forfulgte mål. Navnlig skal sådanne betingelser i praksis være af en sådan art, at de faktisk kan afgrænse omfanget af foranstaltningen og følgelig den berørte personkreds. Hvad angår denne afgrænsning skal den nationale lovgivning være baseret på objektive forhold, der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse, i det mindste indirekte, til grov kriminalitet, bidrage til bekæmpelse af grov kriminalitet på den ene eller den anden måde eller forhindre en alvorlig fare for den offentlige sikkerhed. En sådan afgrænsning kan sikres gennem et geografisk kriterium, når de kompetente nationale myndigheder på grundlag af objektive forhold finder, at der i et eller flere geografiske områder er en forhøjet risiko for, at sådan kriminalitet bliver planlagt eller begået.

(jf. præmis 108-111)

5.      Artikel 15, stk. 1, i direktiv 2002/58 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdata, og navnlig de kompetente nationale myndigheders adgang til de lagrede data, uden i forbindelse med bekæmpelsen af kriminalitet at begrænse denne adgang til målet om bekæmpelse af grov kriminalitet, uden at undergive den nævnte adgang en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed og uden at stille et krav om, at de pågældende data lagres på EU’s område.

I denne henseende bemærkes, at med henblik på at sikre, at de kompetente nationale myndigheders adgang til de lagrede data begrænses til det strengt nødvendige, tilkommer det ganske vist national ret at fastsætte de betingelser, hvorunder udbyderne af elektroniske kommunikationstjenester skal give en sådan adgang. Den pågældende nationale lovgivning kan imidlertid ikke begrænse sig til at opstille et krav om, at adgangen opfylder et af målene i artikel 15, stk. 1, i direktiv 2002/58, selv hvis der er tale om bekæmpelse af grov kriminalitet. En sådan national lovgivning skal nemlig også fastsætte de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data. For så vidt som en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige, skal den pågældende nationale lovgivning således være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til abonnenters eller registrerede brugeres data. I denne henseende kan der i forbindelse med målet om bekæmpelse af kriminalitet i princippet kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse. I særlige situationer, såsom de situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed, kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed.

Med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er det afgørende, at de kompetente nationale myndigheders adgang til de lagrede data i princippet, undtagen i behørigt begrundede hastende tilfælde, er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller denne enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning. Det er desuden vigtigt, at de kompetente nationale myndigheder, som har fået adgang til de lagrede data, underretter de berørte personer herom inden for rammerne af de gældende nationale procedurer, så snart underretningen herom ikke kan skade disse myndigheders efterforskning. Denne underretning er nemlig de facto nødvendig for at gøre det muligt for disse personer navnlig at udøve den adgang til retsmidler, som udtrykkeligt er fastsat i artikel 15, stk. 2, i direktiv 2002/58, sammenholdt med artikel 22 i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, i tilfælde af, at deres rettigheder er blevet tilsidesat.

Henset til mængden af lagrede data, den følsomme karakter af disse data og risikoen for ulovlig adgang til disse skal udbyderne af elektroniske kommunikationstjenester med henblik på at sikre de pågældende datas fulde integritet og fortrolighed desuden sikre et særligt højt niveau for beskyttelse og sikkerhed gennem passende tekniske og organisatoriske foranstaltninger. Særligt skal den nationale lovgivning foreskrive en lagring på EU’s område og en irreversibel destruktion af disse data ved udløbet af lagringsperioden.

(jf. præmis 118-122 og 125 samt domskonkl. 2)

6.      Jf. afgørelsens tekst.

(jf. præmis 127-129)

7.      Jf. afgørelsens tekst.

(jf. præmis 130)