Language of document : ECLI:EU:C:2013:845

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

PEDRO CRUZ VILLALÓN

föredraget den 12 december 2013(1)

Mål C‑293/12

Digital Rights Ireland Ltd

mot

Minister for Communications, Marine and Natural Resources

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Irland

och

Attorney General

(begäran om förhandsavgörande från High Court of Ireland (Irland))

och

Mål C‑594/12

Kärntner Landesregierung

Michael Seitlinger

och

Christof Tschohl

Andreas Krisch

Albert Steinhauser

Jana Herwig

Sigrid Maurer

Erich Schweighofer

Hannes Tretter

Scheucher Rechtsanwalt GmbH

Maria Wittmann-Tiwald

Philipp Schmuck

Stefan Prochaska

m.fl.

(begäran om förhandsavgörande från Verfassungsgerichtshof (Österrike))

”Elektronisk kommunikation – Direktiv 2006/24/EG – Lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av elektroniska kommunikationstjänster – Giltighet – Artikel 5.4 FEU – Huruvida unionens åtgärd är proportionerlig – Stadgan om de grundläggande rättigheterna – Artikel 7 – Respekt för privatlivet – Artikel 8 – Skydd av personuppgifter – Artikel 52.1 – Intrång – Egenskaper som lagen måste ha – Huruvida begränsningen av utövandet av de grundläggande rättigheterna är proportionerlig”





1.        I de båda förevarande målen har tolkningsfrågor ställts till domstolen avseende giltigheten av direktiv 2006/24/EG,(2) vilket ger domstolen tillfälle att uttala sig om under vilka omständigheter det är konstitutionellt möjligt för Europeiska unionen att införa en begränsning av utövandet av de grundläggande rättigheterna i den mening som avses i artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna(3) genom ett direktiv och nationella införlivandeåtgärder.(4) Den aktuella begränsningen utgörs av en skyldighet för ekonomiska aktörer att samla in och under en bestämd tid lagra ett avsevärt antal uppgifter som genererats eller behandlats i samband med elektronisk kommunikation som utförs av medborgarna i unionen, i syfte att säkerställa att uppgifterna är tillgängliga för utredning och åtal av grov brottslig verksamhet och att den inre marknaden fungerar väl. Mitt svar på tolkningsfrågorna är indelat i tre delar.

2.        I den första delen behandlar jag frågan om huruvida direktiv 2006/24 är proportionerligt i den mening som avses i artikel 5.4 FEU. I den andra delen undersöker jag huruvida det villkor som föreskrivs i artikel 52.1 i stadgan, där det anges att varje begränsning i utövandet av de grundläggande rättigheterna ”ska vara föreskriven i lag”, kan anses vara uppfyllt. I den tredje delen slutligen undersöker jag huruvida direktiv 2006/24 uppfyller proportionalitetsprincipen i den mening som avses i artikel 52.1 i stadgan.

3.        Innan jag går in på dessa tre frågor, tar jag emellertid upp tre frågeställningar som jag anser är nödvändiga för att riktigt förstå problemen i samband med de tolkningsfrågor som High Court (Irland) och Verfassungsgerichtshof (Österrike) har ställt avseende direktivets giltighet.

I –    Tillämpliga bestämmelser

A –    Unionsrätten

4.        De viktigaste av de unionsrättsliga bestämmelser som är relevanta för prövningen av de tolkningsfrågor som har ställts till domstolen i de förevarande målen är, förutom bestämmelserna i direktiv 2006/24, vars giltighet har ifrågasatts i de båda aktuella målen, och bestämmelserna i stadgan, bestämmelserna i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(5) och i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).(6) Jag redogör närmare för dessa direktiv och deras centrala bestämmelser vart efter som det behövs för resonemanget nedan.

B –    Nationell rätt

1.      Irländsk rätt (mål C‑293/12)

5.        I artikel 29.4.6 i Irlands författning föreskrivs att ingen bestämmelse i författningen ogiltigförklarar någon lag, rättsakt eller åtgärd som den irländska staten antagit för att uppfylla de skyldigheter som följer av medlemskapet i Europeiska unionen eller gemenskaperna. Författningen hindrar inte heller att lagar, rättsakter eller åtgärder som antas av Europeiska unionen eller gemenskaperna, eller deras institutioner eller organ som är behöriga enligt grundfördragen, tillämpas som lag i staten.

6.        Del 7 i lagen om det straffrättsliga förfarandet (terroristbrott) från 2005 (Criminal Justice (Terrorist Offences) Act 2005)(7), som numera har upphävts, innehöll bestämmelser om lagring av telekommunikationsuppgifter. Den innehöll en skyldighet för leverantörer av telekommunikationstjänster att lagra trafik- och lokaliseringsuppgifter under en i lag angiven period i syfte att förebygga, avslöja, utreda och åtala för brott och trygga statens säkerhet. Denna lag gav behöriga statliga myndigheter, bland annat Commissioner of the Garda Síochána, möjlighet att begära att uppgifter lämnades ut för dessa syften enligt ett föreskrivet förfarande, men erbjöd även skydd i form av ett klagomålsförfarande som leddes av en oberoende domstolsliknande enhet.

7.        Genom kommunikationslagen (lagring av uppgifter) från 2011 (Communications (Retention of Data) Act 2011), som antogs i syfte att införliva direktiv 2006/24, upphävdes del 7 i den ovannämnda lagen från 2005 och inrättades en ny ordning för lagring av uppgifter.

2.      Österrikisk rätt (mål C‑594/12)

8.        I 1 § i den federala lagen om skydd av personuppgifter,(8) vilken har författningsstatus, föreskrivs en grundläggande rätt till skydd av personuppgifter.

9.        Direktiv 2006/24 har införlivats i österrikisk rätt genom en federal lag,(9) genom vilken en ny artikel 102a infördes i lagen om telekommunikation från 2003.(10) Genom artikel 102a åläggs leverantörer av allmänna kommunikationstjänster en skyldighet att lagra de uppgifter som räknas upp i den artikeln.(11)

II – Bakgrund till tvisterna i de nationella domstolarna

A –    Mål C‑293/12, Digital Rights Ireland

10.      Klaganden i målet vid den nationella domstolen, Digital Rights Ireland Ltd,(12) är ett bolag med begränsat ansvar. I bolagets stadgar anges att dess syfte är att främja och skydda medborgerliga och mänskliga rättigheter, särskilt i samband med modern kommunikationsteknik.

11.      DRI har uppgett att det äger en mobiltelefon, som registrerades den 3 juni 2006 och som det har använt sedan dess. DRI har väckt talan mot två ministrar i den irländska regeringen (Minister for Communications, Marine and Natural Resources och Minister for Justice, Equality and Law Reform), chefen för den irländska polisen (Commissioner of the Garda Síochána), Irland och den irländska Attorney General, och har genom denna talan i huvudsak gjort gällande att de irländska myndigheterna rättsstridigt har behandlat, lagrat och kontrollerat uppgifter som härrör från DRI:s telekommunikation.

12.      DRI har därför yrkat ogiltigförklaring av olika nationella rättsakter som ger de irländska myndigheterna behörighet att vidta åtgärder för att ålägga leverantörer av kommunikationstjänster att lagra telekommunikationsuppgifter. DRI anser att dessa rättsakter är oförenliga med den irländska författningen och unionsrätten. DRI har vidare ifrågasatt huruvida direktiv 2006/24 är giltigt med hänsyn till stadgan om de grundläggande rättigheterna och/eller Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna(13) och har uppmanat den hänskjutande domstolen att ställa flera tolkningsfrågor till domstolen avseende det nämnda direktivets giltighet.

B –    Mål C‑594/12, Seitlinger m.fl.

13.      Den 6 april 2012 väckte Kärtner Landesregierung, på grundval av artikel 140.1 i den österrikiska federala grundlagen (Bundes-Verfassungsgesetz(14)), talan vid Verfassungsgerichtshof om ogiltigförklaring av flera bestämmelser i TKG 2003, särskilt artikel 102a, i dess lydelse till följd av införlivandet av direktiv 2006/24, vilken trädde i kraft den 1 april 2012.

14.      Den 25 maj 2012 väckte Michael Seitlinger talan vid Verfassungsgerichtshof på grundval av artikel 140.1 B-VG, i vilken han hävdade att artikel 102a TKG 2003 strider mot författningen i den del den påverkar hans rättigheter. Michael Seitlinger anser att sistnämnda bestämmelse, i vilken föreskrivs en skyldighet för hans nätverksleverantör att utan särskilda skäl och utan att det är nödvändigt av tekniska skäl eller i faktureringssyfte lagra uppgifter mot hans vilja, bland annat innebär ett åsidosättande av artikel 8 i stadgan.

15.      Den 15 juni 2012 väcktes ytterligare en talan vid Verfassungsgerichtshof på grundval av artikel 140 B-VG. Denna talan väcktes av 11 130 personer som gjorde gällande att den författningsstridiga skyldighet att lagra uppgifter som föreskrivs i artikel 102a TKG 2003 innebär en kränkning av deras rättigheter och ett åsidosättande av bland annat artikel 8 i stadgan.

III – Tolkningsfrågorna och förfarandet vid domstolen

A –    Mål C‑293/12, Digital Rights Ireland

16.      High Court har i mål C‑293/12 ställt följande tolkningsfrågor till domstolen:

”1.       Är begränsningen av klagandens rättigheter avseende dennes användning av mobiltelefoni, som följer av kraven i artiklarna 3, 4 och 6 i direktiv 2006/24/EG, oförenlig med artikel 5.4 FEU på så sätt att den är oproportionerlig och onödig eller olämplig för att uppnå de berättigade målen att

a)      säkerställa att vissa uppgifter är tillgängliga för utredning, avslöjande och åtal av allvarliga brott?

och/eller

b)      säkerställa en väl fungerande inre marknad i Europeiska unionen?

2.      I synnerhet,

i)      är direktiv 2006/24/EG förenligt med medborgares rätt enligt artikel 21 FEUF att fritt röra sig och uppehålla sig inom medlemsstaternas territorier?

ii)      är direktiv 2006/24/EG förenligt med rätten till respekt för privatlivet enligt artikel 7 i [stadgan] och artikel 8 i Europakonventionen?

iii)      är direktiv 2006/24/EG förenligt med rätten till skydd av personuppgifter enligt artikel 8 i [stadgan]?

iv)      är direktiv 2006/24/EG förenligt med rätten till yttrandefrihet enligt artikel 11 i [stadgan] och artikel 10 i Europakonventionen?

v)      är direktiv 2006/24/EG förenligt med rätten till god förvaltning enligt artikel 41 i stadgan?

3.       I vilken utsträckning kräver fördragen – och i synnerhet principen om lojalt samarbete enligt artikel 4.3 [FEU] – att en nationell domstol prövar och bedömer förenligheten av nationella åtgärder för införlivande av direktiv 2006/24/EG med skydden enligt stadgan, inbegripet artikel 7 i denna (sådan den uttrycks i artikel 8 i Europakonventionen)?”

B –    Mål C‑594/12, Seitlinger m.fl.

17.      Verfassungsgerichtshof har i mål C‑594/12 ställt följande tolkningsfrågor till domstolen:

”1.      Beträffande giltigheten av unionsorganens handlingar:

Är artiklarna 3–9 i Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG förenliga med artiklarna 7, 8 och 11 i [stadgan]?

2.      Tolkningen av fördragen:

2.1      Ska Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1] mot bakgrund av förklaringarna till artikel 8 i stadgan som enligt artikel 52.7 i stadgan har utarbetats för att ge vägledning vid tolkningen av stadgan och vilka Verfassungsgerichtshof vederbörligen ska beakta, vid bedömningen av huruvida ingrepp är tillåtna anses likvärdiga med villkoren i artikel 8.2 och artikel 52.1 i stadgan?

2.2      Vilket är förhållande[t] mellan hänvisningen till unionsrätten i artikel 52.3 sista meningen i stadgan och de direktiv som avser skydd för personuppgifter?

2.3      Ska ändringar till följd av senare sekundärrätt beaktas vid tolkningen av artikel 8 i stadgan, mot bakgrund av att direktiv 95/46/EG och förordning (EG) nr 45/2001 innehåller villkor och begränsningar för tillvaratagande av den grundläggande rättigheten om skydd för personuppgifter enligt stadgan?

2.4      Innebär principen om upprätthållandet av en högre skyddsnivå i artikel 53 i stadgan, med beaktande av artikel 52.4 i stadgan, att gränserna för de begränsningar som enligt stadgan får göras genom sekundärrätten ska dras mer restriktivt?

2.5      Kan det med beaktande av artikel 52.3 i stadgan, femte stycket i ingressen och förklaringarna till artikel 7 i stadgan, enligt vilka de där garanterade rättigheterna motsvarar rättigheterna i artikel 8 i Europakonventionen, genom rättspraxis från Europeiska domstolen för de mänskliga rättigheterna beträffande artikel 8 i Europakonventionen uppkomma kriterier med avseende på tolkningen av artikel 8 i stadgan som påverkar tolkningen av sistnämnda artikel?”

C –    Förfarandet vid domstolen

18.      I mål C‑293/12 har skriftliga yttranden inkommit från Irish Human Rights Commission,(15) den irländska, den franska, den italienska och den polska regeringen, Förenade konungarikets regering samt Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen.

19.      I mål C‑594/12 har skriftliga yttranden inkommit från Michael Seitlinger och Christof Tschohl, den spanska, den franska, den österrikiska och den portugisiska regeringen samt från parlamentet, rådet och kommissionen.

20.      De båda målen har genom beslut av domstolens ordförande av den 6 juni 2013 förenats vad gäller det muntliga förfarandet och domen.

21.      I syfte att hålla en gemensam muntlig förhandling i de båda målen, uppmanade domstolen i enlighet med artikel 61 i rättegångsreglerna de parter som önskade delta att samordna sina respektive ståndpunkter, inrikta sina framställningar på huruvida direktiv 2006/24 är förenligt med artiklarna 7 och 8 i stadgan och svara på vissa frågor. Domstolen uppmanade även Europeiska datatillsynsmannen(16) att lämna upplysningar i enlighet med artikel 24 andra stycket i domstolens stadga.

22.      DRI och IHRC (mål C‑293/12), Michael Seitlinger och Christof Tschohl (mål C‑594/12) liksom den irländska, den spanska, den italienska och den österrikiska regeringen, Förenade konungarikets regering samt parlamentet, rådet, kommissionen och datatillsynsmannen yttrade sig muntligen vid den gemensamma förhandlingen som hölls den 9 juli 2013.

IV – Upptagande till sakprövning

23.      Europaparlamentet, rådet och kommissionen har i sina skriftliga yttranden i mål C‑293/12 i huvudsak gjort gällande att High Court inte i tillräcklig grad har redogjort för skälen till att den ställer sig tvekande till giltigheten av direktiv 2006/24, särskilt inte i förhållande till artikel 21 FEUF och artiklarna 11 och 41 i stadgan. Att High Courts begäran om förhandsavgörande inte är tillräckligt precis i detta avseende kan emellertid inte föranleda domstolen att avvisa den.

V –    Prövning i sak

24.      Det är lämpligt att dela in de olika tolkningsfrågor som har ställts av High Court i mål C‑293/12 och av Verfassungsgerichtshof i mål C‑594/12 i fyra olika grupper.

25.      Den första gruppen, som utgörs av den första frågan i mål C‑293/12, avser giltigheten av direktiv 2006/24 mot bakgrund av artikel 5.4 FEU. High Court vill få svar på om direktiv 2006/24 allmänt sett är proportionerligt i den mening som avses i den bestämmelsen, det vill säga om det är nödvändigt och lämpligt för att uppnå de mål som det eftersträvar, nämligen att säkerställa att vissa uppgifter är tillgängliga för utredning, avslöjande och åtal av allvarliga brott och/eller att den inre marknaden fungerar väl.

26.      Den andra gruppen av frågor, som utgörs av den andra frågan i mål C‑293/12 och den första frågan i mål C‑594/12, avser huruvida vissa av bestämmelserna i direktiv 2006/24 är förenliga med vissa av bestämmelserna i stadgan, särskilt artikel 7 om rätten till respekt för privatlivet och artikel 8 om rätten till skydd av personuppgifter, och mer allmänt huruvida de åtgärder som föreskrivs i det är proportionerliga i den mening som avses i artikel 52.1 i stadgan. Denna fråga avseende direktivets giltighet är utan tvekan ett av de centrala problemen som har lyfts fram i de aktuella målen.

27.      Den tredje gruppen, som utgörs av den andra frågan som har ställts av Verfassungsgerichtshof i mål C‑594/12, avser tolkningen av stadgans allmänna bestämmelser om hur den ska tolkas och tillämpas, det vill säga artiklarna 52.3, 52.4, 52.7 och 53. Verfassungsgerichtshof vill i huvudsak få svar på vilket förhållandet är mellan å ena sidan artikel 8 i stadgan, som avser rätten till skydd av personuppgifter, och å andra sidan, för det första bestämmelserna i direktiv 95/46 och förordning nr 45/2001 i förening med artikel 52.1 och 52.3 i stadgan (frågorna 2.1, 2.2 och 2.3), för det andra medlemsstaternas konstitutionella traditioner (fråga 2.4) i förening med artikel 52.4 i stadgan, och för det tredje bestämmelserna i Europakonventionen, särskilt artikel 8, i förening med artikel 52.3 i stadgan (fråga 2.5).

28.      Den fjärde och sista gruppen utgörs av High Courts tredje fråga i mål C‑293/12. Genom denna fråga vill High Court att domstolen ska svara på hur artikel 4.3 FEU ska tolkas, närmare bestämt om de nationella domstolarna i enlighet med skyldigheten till lojalt samarbete måste pröva och bedöma huruvida nationella åtgärder för införlivande av direktiv 2006/24 är förenliga med stadgans bestämmelser, särskilt artikel 7.

29.      Det ska genast påpekas att jag nedan i huvudsak behandlar de båda första grupperna av frågor, och att det med beaktande av svaren på dessa inte kommer att vara nödvändigt att särskilt besvara de båda sista grupperna av frågor. Innan jag går in på behandlingen av själva frågorna behöver emellertid vissa inledande preciseringar göras.

A –    Inledande synpunkter

30.      För att kunna svara fullständigt på de olika frågor som har ställts av de hänskjutande domstolarna, bör tre faktorer klargöras som på ett avgörande sätt bidrar till att ge en tydligare bild av de nu aktuella målen, nämligen, för det första, den särskilda funktionen hos direktiv 2006/24, för det andra, kvalificeringen av intrånget i de grundläggande rättigheterna i fråga, och slutligen, för det tredje, inverkan på de nu aktuella målen av domen av den 10 februari 2009 i målet Irland mot parlamentet och rådet,(17) i vilken domstolen ogillade talan om ogiltigförklaring av det nämnda direktivet, vilken hade väckts med åberopande av att det antagits på felaktig rättslig grund.

1.      Den ”dubbla funktionen” hos direktiv 2006/24 och dess förhållande till direktiv 95/46 och direktiv 2002/58

31.      Det är lämpligt att inleda med att placera direktiv 2006/24 i sitt sammanhang genom att kortfattat erinra om övrig lagstiftning på området, främst direktiv 95/46 och direktiv 2002/58 .

32.      Syftet med direktiv 95/46, vilket precis som direktiv 2006/24 grundar sig på artikel 114 FEUF, är att ålägga medlemsstaterna en skyldighet att säkerställa fysiska personers rätt till privatliv i samband med behandling av personuppgifter(18) för att möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna.(19) För detta ändamål innehåller det nämnda direktivet en lång rad bestämmelser om när personuppgifter får behandlas. I dessa bestämmelser anges vilka rättigheter som tillkommer personer vars personuppgifter blir föremål för insamling och behandling, särskilt rätten att bli informerad,(20) rätten till tillgång,(21) rätten att göra invändningar(22) och rätten till rättslig prövning,(23) samt garanteras sekretess och säkerhet vid behandlingen.

33.      För den skyddsordning som föreskrivs i direktiv 95/46 gäller de undantag och begränsningar som anges i artikel 13 i det direktivet. Omfattningen av de rättigheter och skyldigheter som i det nämnda direktivet föreskrivs avseende uppgifternas kvalitet (artikel 6.1), information om behandlingen (artiklarna 10 och 11.1), rätten till tillgång för personer vilkas personuppgifter är föremål för behandling (artikel 12) och behandlingarnas offentlighet (artikel 21) kan begränsas genom lagstiftningsåtgärder, när detta är nödvändigt för att tillvarata bland annat statens säkerhet, försvaret, allmän säkerhet eller förebyggande, undersökning, avslöjande och åtal för brott.

34.      Direktiv 2002/58, genom vilket direktiv 97/66/EG(24) har upphävts och ersatts, preciserar och kompletterar(25) den ordning för skydd av personuppgifter som fastställs i direktiv 95/46 genom särskilda regler som är tillämpliga inom sektorn för elektronisk kommunikation.(26) Detta direktiv innehåller framför allt bestämmelser som ålägger medlemsstaterna att utan undantag(27) säkerställa konfidentialiteten inte endast vid kommunikation utan även för trafikuppgifter som rör abonnenter och användare av elektroniska kommunikationstjänster.(28) I artikel 6 föreskrivs en skyldighet för leverantörer av kommunikationstjänster att utplåna eller avidentifiera trafikuppgifter som behandlas och lagras vilka rör abonnenter och användare.

35.      Av särskild betydelse för mitt resonemang nedan är bestämmelserna i artikel 15.1 i direktiv 2002/58, där det i samma ordalag som i artikel 13.1 i direktiv 95/46, vilket det hänvisas till, föreskrivs att medlemsstaterna genom lagstiftning får(29) vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som i direktivet anges bland annat avseende konfidentialitet vid kommunikation (artikel 5) och utplåning av trafikuppgifter (artikel 6). I samma punkt preciseras att medlemsstaterna för detta ändamål bland annat får vidta lagstiftningsåtgärder som innebär att trafikuppgifter får bevaras under en begränsad period, om det är motiverat av de skäl som fastställs i den punkten och förutsatt att de grundläggande rättigheterna iakttas.

36.      Direktiv 2006/24 har i realiteten medfört en djupgående förändring av gällande rätt avseende uppgifter om elektronisk kommunikation som följer av direktiven 95/46 och 2002/58,(30) eftersom det i detta direktiv föreskrivs att medlemsstaterna, inom ramen för den begränsning av rätten till skydd av personuppgifter som föreskrivs i artiklarna 13.1 i direktiv 95/46 och 15.1 i direktiv 2002/58, ska införa en skyldighet att samla in och lagra trafik- och lokaliseringsuppgifter.

37.      Direktiv 2006/24 kännetecknas framför allt av syftet att i förekommande fall harmonisera medlemsstaternas bestämmelser om lagring av trafik- och lokaliseringsuppgifter i samband med elektronisk kommunikation. För att uppnå detta syfte krävs det samtidigt, med hänsyn till det område som ska harmoniseras och den förevarande situationen, att de medlemsstater som inte har sådana bestämmelser åläggs en skyldighet att samla in och lagra nämnda uppgifter. Av detta följer att direktiv 2006/24 har en dubbel funktion som det är nödvändigt att ta i beaktande för att kunna ge ett korrekt svar på de frågor som ställts i begärandena om förhandsavgörande.

38.      Det främsta syftet med direktiv 2006/24 är att harmonisera de nationella bestämmelser genom vilka leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät(31) redan har ålagts en skyldighet att lagra de trafik- och lokaliseringsuppgifter som anges i direktivet, i syfte att säkerställa att uppgifterna är tillgängliga ”för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen”.(32) Genom direktiv 2006/24 harmoniseras således delvis de bestämmelser som vissa medlemsstater har antagit på grundval av den möjlighet som erbjuds i artikel 15.1 i direktiv 2002/58.(33)

39.      Genom direktiv 2006/24 har ett system med undantag(34) från de principer som fastställs i direktiv 95/46 och direktiv 2002/58 inrättats. För att vara fullständigt exakt innebär direktivet en avvikelse från undantagsreglerna i artikel 15.1 i direktiv 2002/58, vilka ger medlemsstaterna möjlighet att, om det är motiverat av de skäl som anges i artikel 13.1 i direktiv 95/46, begränsa omfattningen av rättigheten till skydd av personuppgifter och, mer allmänt, rätten till respekt för privatlivet i samband med tillhandahållandet av elektroniska kommunikationstjänster eller allmänna kommunikationsnät.

40.      Betydelsefullt är också att det genom artikel 11 i direktiv 2006/24 har infogats en punkt 1a i artikel 15 i direktiv 2002/58, där det anges att den första punkten i denna bestämmelse inte ska tillämpas på uppgifter som specifikt ska lagras enligt direktiv 2006/24.

41.      Som domstolen påpekade i domen i det ovannämnda målet Irland mot parlamentet och rådet avser direktiv 2006/24 huvudsakligen verksamheten hos leverantörer av elektroniska kommunikationstjänster,(35) eftersom det harmoniserar de nationella bestämmelserna genom bestämmelser som i princip inskränker sig(36) till att avse skyldigheten att lagra uppgifter, de kategorier av uppgifter som ska lagras, lagringstiderna, uppgiftsskydd och datasäkerhet samt kraven för lagring av uppgifter.(37)

42.      Det är just på grund av denna funktion med en begränsad harmonisering som domstolen, som det framgår nedan, i domen i det ovannämnda målet Irland mot parlamentet och rådet kunde slå fast att direktiv 2006/24 kunde antas med stöd av artikel 95 EG. Det handlade om att, i syfte att få den inre marknaden att fungera väl,(38) sätta stopp för utvecklingen av medlemsstaternas lagstiftning i olika riktningar(39) och samtidigt förhindra en sådan utveckling i framtiden.(40)

43.      För att uppnå den harmonisering som föreskrivs i direktiv 2006/24 var det nödvändigt att införa en skyldighet för leverantörer av elektroniska kommunikationstjänster att samla in och lagra uppgifter, åtminstone i de medlemsstater som inte hade antagit några bestämmelser i detta hänseende, och att bland annat fastställa en minimiperiod och en maximiperiod under vilken uppgifterna måste lagras.

44.      Det bör betonas att den omständigheten att ett antal medlemsstater inte ännu hade antagit bestämmelser om lagring av uppgifter var en av de huvudsakliga anledningarna till att direktiv 2006/24 kunde antas med stöd av artikel 95 EG.(41)

45.      Inom ramen för syftet att harmonisera bestämmelserna fastställs i direktiv 2006/24 en skyldighet för medlemsstaterna att antingen göra den befintliga ordningen förenlig med bestämmelserna i direktiv 2006/24, eller på sikt inrätta den ordning för insamling och lagring som föreskrivs i direktiv 2006/24, samt att under alla omständigheter säkerställa att bestämmelserna i direktivet följs, särskilt bestämmelserna om villkoren för tillgång till de lagrade uppgifterna.

46.      Sammanfattningsvis kännetecknas direktiv 2006/24 således av sin dubbla funktion. Det är å ena sidan ett fullständigt klassiskt direktiv som syftar till att harmonisera(42) medlemsstaternas olika nationella lagstiftning(43) eller lagstiftning som i framtiden kan komma att bli olika, och som har antagits för att främja en väl fungerande inre marknad och har utformats för exakt detta syfte, såsom domstolen konstaterade i domen i det ovannämnda målet Irland mot parlamentet och rådet. Men det är, å andra sidan, även ett direktiv som inom ramen för sin harmoniserande funktion också syftar till att vid behov införa(44) bland annat en skyldighet att lagra uppgifter, vilken, som jag kommer att visa nedan, utgör ett väsentligt intrång i åtnjutandet av de grundläggande rättigheter som unionsmedborgarna garanteras genom stadgan, särskilt rätten till respekt för privatlivet och rätten till skydd av personuppgifter.

47.      Det står klart att man i svaren på tolkningsfrågorna måste ta särskild hänsyn till denna ”andra funktion”, som jag skulle beteckna som den ”grundläggande” verkan av skyldigheten att lagra uppgifter, utan att för den skull bortse från direktivets verkan att specifikt harmonisera befintliga nationella bestämmelser på området.

2.      Den grundläggande rättighet som huvudsakligen berörs och kvalificeringen av intrånget

48.      Det är lämpligt att redan i detta skede behandla frågan om hur det intrång i utövandet av de grundläggande rättigheterna som följer av den insamling och lagring av uppgifter som föreskrivs i direktiv 2006/24 ska kvalificeras, sedan jag väl har fastställt att det inte råder någon tvekan om att ett intrång föreligger. Jag kommer först att identifiera den grundläggande rättighet som huvudsakligen påverkas av direktiv 2006/24 och därefter kommer jag att göra en kvalificering av det intrång i utövandet av nämnda rättighet som direktivet utgör.

a)      Berörda grundläggande rättigheter

i)      Grundläggande rättigheter som har åberopats

49.      High Court, i mål C‑293/12, liksom Verfassungsgerichtshof, i mål C‑594/12, vill att domstolen ska svara på huruvida direktiv 2006/24 är förenligt med ett antal olika grundläggande rättigheter, främst rätten till respekt för privatlivet, som garanteras genom artikel 7 i stadgan, och rätten till skydd av personuppgifter, som garanteras genom artikel 8 i stadgan, men även rätten till yttrandefrihet, som garanteras genom artikel 11 i stadgan.

50.      High Court vill även att domstolen ska svara på huruvida direktiv 2006/24 är förenligt med artikel 21 FEUF, som avser unionsmedborgarnas rätt att fritt röra sig och uppehålla sig, och med artikel 41 i stadgan, som avser rätten till god förvaltning.

51.      Det är här möjligt att vidta en första förenkling.

52.      Det kan naturligtvis inte bortses ifrån att den vaga känsla av att vara övervakad(45) som genomförandet av direktiv 2006/24 kan leda till kan ha en avgörande inverkan på unionsmedborgarnas utövande av yttrandefriheten och informationsfriheten, och det måste följaktligen även konstateras att det föreligger ett intrång i den rätt som garanteras genom artikel 11 i stadgan.(46) Det bör emellertid påpekas att bortsett från att domstolen inte förfogar över tillräckliga uppgifter för att uttala sig i detta hänseende, är denna verkan endast en sidoeffekt av intrånget i rätten till respekt för privatlivet, vilket nedan behandlas mycket noggrant och med största uppmärksamhet.

53.      High Court har vidare inte tillhandahållit någon förklaring alls av skälen till att den anser att artikel 21 FEUF (unionsmedborgarnas rätt att fritt röra sig och uppehålla sig) och artikel 41 i stadgan (rätten till god förvaltning) är relevanta för bedömningen av giltigheten av direktiv 2006/24, och har inte heller lämnat några uppgifter om hur nämnda direktiv kan påverka medborgarnas fria rörlighet eller principen om god förvaltning, i strid med de krav som numera föreskrivs i artikel 94 i domstolens rättegångsregler. Inte heller i detta hänseende innehar domstolen således några uppgifter som gör det möjligt för den att uttala sig.

54.      Det är således huvudsakligen mot bakgrund av artiklarna 7 och 8 i stadgan som förenligheten av direktiv 2006/24 i princip bör undersökas.

ii)    Rätten till respekt för privatlivet och rätten till skydd av personuppgifter

55.      I artikel 8 i stadgan stadfästs rätten till skydd av personuppgifter som en rättighet skild från rätten till respekt för privatlivet. Skyddet av personuppgifter tenderar förvisso att även säkerställa respekten för privatlivet, men omfattas framför allt av en självständig ordning som huvudsakligen fastställs i direktiv 95/46, direktiv 2002/58, förordning nr 45/2001 och direktiv 2006/24 samt, inom området polisiärt och straffrättsligt samarbete, i rambeslut 2008/977/RIF.(47)

56.      Direktiv 2006/24/EG påverkar märkbart rätten till skydd av personuppgifter, eftersom det i artikel 5 föreskrivs en skyldighet för medlemsstaterna att säkerställa att uppgifter som gör det möjligt eller kan göra det möjligt att identifiera en person(48) lagras såväl vid källan som vid slutmålet för en kommunikation, liksom dess plats i rummet och tiden, antingen genom uppgift om telefonnumret när det gäller telefoni, eller användar‑ID eller någon annan för kommunikationen specifik uppgift, såsom en IP‑adress, när det gäller internettjänster.

57.      I artikel 1.2 i direktiv 2006/24 anges uttryckligen att direktivet är tillämpligt på bland annat uppgifter som behövs för att identifiera en abonnent eller registrerad användare av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Det rör sig således om uppgifter för vilkas spridning det krävs ett uttryckligt medgivande av personen i fråga och om dessa personers ”rätt att bestämma över information om sig själva”.(49)

58.      Vid första anblicken framgår att direktiv 2006/24 utgör ett intrång i rätten till skydd av personuppgifter och att det utan tvekan omfattas av bestämmelserna i artikel 8.2 och 8.3 i stadgan. I direktivet anges också att såväl direktiv 95/46/EG och direktiv 2002/58/EG(50) som Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter från 1981(51) är fullt tillämpliga på uppgifter som lagras i enlighet med direktivets bestämmelser.

59.      Det är emellertid inte behandlingen av de lagrade uppgifterna – vare sig hur leverantörerna av elektroniska kommunikationstjänster samlar in dem eller hur de behöriga myndigheterna i medlemsstaterna använder dem – som kräver störst vaksamhet, utan själva insamlingen och lagringen av uppgifterna i fråga samt insamlingens och lagringens inverkan på rätten till respekt för privatlivet, och detta av de skäl som jag redogör för nedan.

60.      Det bör inledningsvis påpekas att även om direktiv 2006/24 mycket väl kan uppfylla samtliga krav i artikel 8.2 och 8.3 i stadgan och kan anses vara förenligt med artikel 8 i stadgan innebär detta emellertid inte att direktivet är fullständigt förenligt med de krav som följer av den rätt till respekt för privatlivet som garanteras genom artikel 7 i stadgan.

61.      Eftersom ”det privata” utgör kärnan i ”det personliga”, kan det inte uteslutas att bestämmelser som begränsar rätten till skydd av personuppgifter, men uppfyller kraven i artikel 8 i stadgan, utgör ett oproportionerligt åsidosättande av artikel 7 i stadgan.

62.      Rätten till skydd av personuppgifter grundar sig förvisso på den grundläggande rätten till respekt för privatlivet,(52) vilket innebär att artiklarna 7 och 8 i stadgan, såsom domstolen tidigare har betonat,(53) är nära knutna till varandra(54), till den grad att de kan anses föreskriva en ”[rätt] till respekt för privatlivet vad avser behandling av personuppgifter”.(55)

63.      Detta gäller dock inte systematiskt. Det band som förenar dessa båda rättigheter är i hög grad beroende av vilket slag av uppgifter det rör sig om – även om de alltid är personliga, det vill säga hänför sig till personen eller individen.

64.      Vissa uppgifter är personuppgifter som sådana, det vill säga de individualiserar en person, såsom de uppgifter som en gång i tiden kunde förekomma i lejdebrev – för att nu ge ett exempel. Dessa uppgifter har ofta en viss varaktighet och ofta även en viss neutralitet. De är personuppgifter, men inget mer, och det kan allmänt sägas att det är för sådana uppgifter som bestämmelserna och skyddet i artikel 8 i stadgan är bäst anpassade.

65.      Vissa andra uppgifter är emellertid på något sätt mer än personuppgifter. Kvalitativt hänför sig dessa uppgifter främst till privatlivet, det vill säga privatlivets helgd, inbegripet intima förhållanden. I dessa fall uppstår problemen vad gäller uppgifterna redan i ett tidigare stadium. Problemet rör inte skyddet vid behandlingen av uppgifterna, utan det rör uppgifterna som sådana, före det stadiet, det vill säga den omständigheten att förhållanden i en persons privatliv har kunnat utkristalliseras i form av uppgifter – uppgifter som följaktligen kan bli föremål för databehandling.

66.      Det kan därför hävdas att när det rör sig om sådana uppgifter uppkommer problemet huvudsakligen innan uppgifterna behandlas och rör i första hand rätten till respekt för privatlivet, vilken garanteras genom artikel 7 i stadgan, och endast i andra hand skyddet vid behandling av personuppgifter, vilket garanteras genom artikel 8 i stadgan.

67.      Som det framgår av ovanstående resonemang, där jag har försökt att korrekt ”positionera” de båda grundläggande rättigheter som utgörs av rätten till respekt för privatlivet (artikel 7 i stadgan) och rätten till skydd av personuppgifter (artikel 8 i stadgan), bör giltigheten av direktiv 2006/24 huvudsakligen bedömas mot bakgrund av det intrång i rätten till respekt för privatlivet som det utgör.

b)      Ett synnerligen väsentligt intrång i rätten till respekt för privatlivet

68.      Det bör inledningsvis påpekas att det knappast råder någon tvekan om att direktiv 2006/24 i sig utgör ett ”intrång” i rätten till respekt för privatlivet.(56) Detta konstateras också i själva direktivet, där det definieras som ”en nödvändig åtgärd” som utgörs av ”ett instrument om lagring av uppgifter i enlighet med kraven i artikel 8 i [Europakonventionen]”(57) eller artikel 7 i stadgan. Domstolen har för övrigt använt detta begrepp med avseende på direktivet.(58)

69.      Europeiska domstolen för de mänskliga rättigheterna har upprepade gånger slagit fast att en offentlig myndighets lagring av uppgifter som avser en persons privatliv utgör ett intrång i den rätt till respekt för privatlivet som garanteras genom artikel 8.1 i Europakonventionen(59) och att det därvid spelar mindre roll på vilket sätt uppgifterna används.(60)

70.      Det gäller här att försöka kvalificera detta intrång. Som jag visar närmare nedan kan det hävdas att direktiv 2006/24 utgör ett synnerligen väsentligt intrång(61) i rätten till respekt för privatlivet.

71.      I direktiv 2006/24 anges visserligen lika uttryckligt som insisterande(62) att direktivets tillämpningsområde inte omfattar själva den kommunicerade informationen, det vill säga innehållet i telefonsamtal eller elektronisk kommunikation.

72.      Det kvarstår emellertid att insamlingen(63) och framför allt lagringen(64) i enorma databaser av en stor mängd olika uppgifter som genererats eller behandlats och som avser huvuddelen av unionsmedborgarnas dagliga elektroniska kommunikationer(65) utgör ett väsentligt intrång i deras privatliv, också om det endast skapar möjlighet till kontroll i efterhand av deras privata och yrkesmässiga förehavanden. Insamlingen av dessa uppgifter skapar förutsättningar för en övervakning som, även om den endast utövas retroaktivt i samband med att uppgifterna används, ändå på ett permanent sätt under hela den tid uppgifterna finns lagrade hotar unionsmedborgarnas rätt till skydd för privatlivets helgd. Den vaga känsla av att vara övervakad(66) som detta skapar gör frågan om lagringstiden för uppgifterna särskilt angelägen.

73.      Det bör beaktas att verkan av detta intrång har minskat på grund av den stora betydelse som de elektroniska kommunikationsmedlen, särskilt digitala mobilnät och internet, har fått i det moderna samhället och den intensiva massanvändningen av dem. En mycket stor andel av unionsmedborgarna använder dem inom alla områden i det dagliga livet, privat såväl som i yrkeslivet.(67)

74.      Det bör ännu en gång betonas att uppgifterna i fråga inte är personuppgifter i begreppets klassiska mening som innehåller enstaka upplysningar om personernas identitet, utan att det rör sig om så att säga kvalificerade personliga uppgifter, vars användning kan göra det möjligt att detaljerat och uttömmande kartlägga en viktig del av en persons strikt privata förehavanden, eller till och med ge en fullständig och exakt bild av personens privata identitet.

75.      Intrångets omfattning förstärks av faktorer som ökar risken för att de lagrade uppgifterna används för rättsstridiga ändamål, som eventuellt kan innebära en kränkning av privatlivet, eller för bedrägliga eller till och med ondskefulla ändamål, trots de skyldigheter som såväl medlemsstaterna själva som leverantörerna av elektroniska kommunikationstjänster åläggs genom direktiv 2006/24.

76.      Uppgifterna lagras inte av myndigheterna eller ens under deras direkta kontroll, utan av själva leverantörerna av elektroniska kommunikationstjänster,(68) vilka har ålagts huvuddelen av ansvaret för att uppfylla de skyldigheter som garanterar uppgiftsskydd och datasäkerhet.

77.      Genom direktiv 2006/24 åläggs(69) medlemsstaterna förvisso att säkerställa att uppgifterna lagras i enlighet med direktivet. Det är emellertid intressant att notera att uppgifterna och annan nödvändig information som är relaterad till uppgifterna endast ska lagras så att de ”utan dröjsmål kan överföras till de behöriga myndigheterna när de begär det”. I direktiv 2006/24 föreskrivs även att medlemsstaterna ska säkerställa att leverantörer av elektroniska kommunikationstjänster som ett minimum respekterar vissa principer för uppgiftsskydd och datasäkerhet.

78.      I direktiv 2006/24 föreskrivs emellertid inte att nämnda tjänsteleverantörer är skyldiga att själva lagra de uppgifter som ska lagras inom en medlemsstats territorium och som omfattas av medlemsstatens jurisdiktion, vilket avsevärt ökar risken för att de tillgängliggörs eller sprids i strid med bestämmelserna.

79.      Genom att lagringen av uppgifter på detta sätt ”läggs ut på entreprenad” förvaras de lagrade uppgifterna visserligen på avstånd från medlemsstaternas myndigheter och det förhindras således att dessa har direkt och okontrollerad tillgång till dem,(70) men samtidigt ökar risken för användning som inte uppfyller de krav som följer av rätten till respekt för privatlivet.

80.      Direktiv 2006/24 utgör således, som det framgår av ovanstående resonemang, ett synnerligen väsentligt intrång i rätten till respekt för privatlivet, och det är mot bakgrund av de krav som följer av denna grundläggande rättighet som direktivets giltighet och särskilt dess proportionalitet huvudsakligen bör bedömas.

3.      Domen i det ovannämnda målet Irland mot parlamentet och rådet och dess inverkan på bedömningen av giltigheten av direktiv 2006/24

81.      I detta skede av det inledande resonemanget återstår att undersöka hur domen i det ovannämnda målet Irland mot parlamentet och rådet inverkar på svaret på begäran i dessa båda fall om en bedömning av giltigheten av direktiv 2006/24 som har riktats till domstolen.

82.      Det bör erinras om att domstolen i det målet hade tillställts en direkt talan om ogiltigförklaring av direktiv 2006/24, inom ramen för vilken det uteslutande gjordes gällande att direktivet grundar sig på en felaktig rättslig grund. Domstolen angav uttryckligen i punkt 57 i domen att ”Irlands talan endast avser valet av rättslig grund och inte ett eventuellt åsidosättande av grundläggande rättigheter till följd av de inskränkningar av rätten till privatliv som direktiv 2006/24 medför”.

83.      Eftersom begärandena om förhandsavgörande i de båda nu aktuella målen avser huruvida bestämmelserna i direktiv 2006/24 är proportionerliga i den mening som avses i dels artikel 5.4 FEU (den första frågan i mål C‑293/12), dels artikel 52.1 i stadgan (den andra frågan i mål C‑293/12 och den första frågan i mål C‑594/12), kan domstolens ovanstående reservation tolkas på två sätt som kan visa sig komplettera varandra.

84.      Den första möjliga tolkningen, vilken i och för sig är självklar, är att domstolen, eftersom Irlands yrkanden var helt inriktade på en ogiltigförklaring, inte var tvungen att pröva huruvida direktiv 2006/24 är förenligt med de grundläggande rättigheter som garanteras genom stadgan, särskilt rätten till respekt för privatlivet som garanteras genom artikel 7 i stadgan. Domstolen betonade själv detta i punkt 57 i domen. Den behövde således inte pröva huruvida direktivet uppfyller kraven i artikel 52.1 i stadgan, särskilt kravet avseende de egenskaper som en lag måste ha och kravet avseende proportionalitet.

85.      Den andra möjliga tolkningen av domstolens reservation, som är mycket mer problematisk att undersöka, är att domstolen, trots att den i domen i det ovannämnda målet Irland mot parlamentet och rådet godkände den rättsliga grunden för direktiv 2006/24, inte prövade huruvida direktivet, med hänsyn till intrånget i de grundläggande rättigheterna, är proportionerligt i den mening som avses i artikel 5.4 FEU, vilket High Court genom sin första fråga i mål C‑293/12 formellt har yrkat att domstolen ska pröva. Det rör sig i huvudsak om att med beaktande av direktivets rättsliga grund pröva huruvida det intrång i rätten till respekt för privatlivet som direktiv 2006/24 innebär är proportionerligt i förhållande till direktivets syften i den mening som avses i ovannämnda bestämmelse.

86.      Jag kommer nedan först att utveckla den problematik som härrör från proportionalitetsprincipen i artikel 5.4 FEU, vilket som jag angett ovan kräver en undersökning av de möjligheter som öppnas genom den ovannämnda andra möjliga tolkningen av punkt 57 i domen i det ovannämnda målet Irland mot parlamentet och rådet. Därefter kommer jag att på grundval av den första – oproblematiska – tolkningen av nämnda punkt undersöka själva kärnan i de frågor som har ställts av de båda hänskjutande domstolarna och som avser villkoren för begränsningar av utövandet av de grundläggande rättigheterna.

B –    Huruvida antagandet av direktiv 2006/24 var proportionerligt i den mening som avses i artikel 5.4 FEU (den första frågan som ställts i mål C‑293/12)

87.      Genom sin första fråga i mål C‑293/12 vill High Court att domstolen ska svara på huruvida direktiv 2006/24 är proportionerligt i den mening som avses i artikel 5.4 FEU i förhållande till de mål som det syftar till, antingen målet att säkerställa att de lagrade uppgifterna är tillgängliga för avslöjande och åtal av allvarliga brott, eller målet att säkerställa att den inre marknaden fungerar väl, eller också båda dessa mål.

88.      Ett svar på denna fråga är nödvändigt endast om det kan anses att domstolen i domen i det ovannämnda målet Irland mot parlamentet och rådet endast uttalade sig om giltigheten av valet av artikel 95 EG som rättslig grund för direktiv 2006/24, men inte behandlade frågan om huruvida nämnda direktiv är proportionerligt med hänsyn till de mål som det kan syfta till på grundval av nämnda rättsliga grund. Mitt resonemang nedan ska således förstås så att det är villkorat av en tolkning av domen i det ovannämnda målet Irland mot parlamentet och rådet som trots allt kan ge upphov till en diskussion.

89.      Eftersom High Court i sin begäran om förhandsavgörande har frågat både huruvida direktiv 2006/24, det vill säga själva rättsakten, är proportionerlig i den mening som avses i artikel 5.4 FEU, och huruvida begränsningen av utövandet av de grundläggande rättigheterna i den mening som avses i artikel 52.1 i stadgan är proportionerlig, bör det erinras om att den prövning som görs med avseende på dessa båda bestämmelser är av olika slag.(71) Proportionalitet i den mening som avses i artikel 5.4 FEU är, jämte subsidiaritetsprincipen, en allmän princip som reglerar unionens åtgärder och utgör ett villkor för antagandet av alla rättsakter från institutionerna. Syftet härmed är närmare bestämt att kanalisera unionens ingripande med iakttagande av medlemsstaternas befogenheter. Proportionalitet i den mening som avses i artikel 52.1 i stadgan är ett villkor som måste var uppfyllt för att en begränsning av utövandet av de grundläggande rättigheterna ska vara legitim. Den prövning som görs med avseende på dessa båda bestämmelser kan följa samma förlopp, men är inte lika ingående i båda fallen.

90.      Nu när detta har preciserats, bör det erinras om att på ett område med delad befogenhet, såsom den inre marknaden,(72) ankommer det på unionslagstiftaren att fastställa de åtgärder den anser nödvändiga för att uppfylla de eftersträvade målen, samtidigt som principerna om subsidiaritet och proportionalitet i artikel 5 FEU iakttas.(73)

91.      I förevarande fall har kommissionen, i enlighet med artikel 5 i protokollet om tillämpning av subsidiaritets- och proportionalitetsprinciperna, motiverat antagandet av direktiv 2006/24 med beaktande av proportionalitetsprincipen, såsom det framgår av kommissionens förslag av den 21 september 2005.(74)

92.      High Courts fråga avser emellertid inte huruvida kommissionen har uppfyllt sina skyldigheter, utan huruvida själva direktiv 2006/24 är förenligt med kraven i artikel 5.4 FEU.

93.      I enlighet med domstolens fasta praxis kan en rättsakt från unionen anses vara proportionerlig endast om de medel som föreskrivs i den är ägnade att säkerställa att det mål som eftersträvas uppnås och att de inte går utöver vad som är nödvändigt för att uppnå detta mål.(75)

94.      Den tolkningsfråga som har ställts av High Court innebär en särskild svårighet i detta hänseende. Svårigheten i förevarande fall är att avgöra mot vilken bakgrund det ska bedömas om de åtgärder som har antagits genom direktiv 2006/24 är proportionerliga i den mening som avses i artikel 5.4 FEU. Ska denna bedömning göras mot bakgrund av båda de mål som direktivet eftersträvar, det vill säga en harmonisering av den nationella lagstiftningen i syfte att uppnå en väl fungerande inre marknad och ett säkerställande av att uppgifterna är tillgängliga för brottsbekämpning, eller tvärtom endast mot bakgrund av det mål som har ett direkt samband med den rättsliga grund på grundval av vilken direktivet har antagits.

95.      I detta sammanhang bör åtskillnad göras mellan direktivets övervägande syfte,(76) det vill säga en väl fungerande inre marknad, och direktivets slutliga syften, vilka kan betecknas på olika sätt, men vilka i vart fall inte är övervägande. Det bör först undersökas om direktiv 2006/24, i den del det ålägger leverantörer av elektroniska kommunikationstjänster en skyldighet att samla in, lagra och tillhandahålla uppgifter, vilken har en ”grundläggande” verkan, är proportionerligt i förhållande till behovet av att harmonisera dessa skyldigheter.

96.      Det bör inledningsvis erinras om att frågan hur ingående den prövning som domstolen gör av huruvida en åtgärd som har antagits av unionslagstiftaren är lämplig är direkt kopplad till unionslagstiftarens utrymme för skönsmässig bedömning.(77) Domstolen har upprepade gånger slagit fast att inom områden där unionslagstiftaren ställs inför val av politisk, ekonomisk eller social art som kräver komplicerade bedömningar, till exempel jordbrukspolitiken(78) eller den gemensamma handelspolitiken,(79) har unionslagstiftaren ett stort utrymme för skönsmässig bedömning(80) och därför görs en begränsad domstolsprövning. Det ankommer inte på domstolen att avgöra om den vidtagna åtgärden var den enda eller bästa möjliga, utan endast att pröva om den grundar sig på objektiva faktorer(81) och inte är uppenbart olämplig i förhållande till det eftersträvade målet.(82)

97.      Det har inte bestritts att direktiv 2006/24 utgör ett lämpligt medel för att uppnå det främsta av de formella mål som det eftersträvar, det vill säga att säkerställa att den inre marknaden fungerar väl. Direktivet är utan tvekan utformat för att undanröja nuvarande såväl som framtida skillnader i rättsliga och tekniska bestämmelser(83) i de nationella regelverk genom vilka leverantörer av elektroniska kommunikationstjänster åläggs en skyldighet att lagra uppgifter.

98.      Det kan även, med beaktande av institutionernas utrymme för skönsmässig bedömning, medges att den harmonisering som åstadkommits genom direktiv 2006/24 var nödvändig för att minska de rättsliga och tekniska skillnaderna mellan kraven på leverantörer av elektroniska kommunikationstjänster när det gäller vilket slag av uppgifter som ska lagras, hur länge de ska lagras och under vilka förhållanden de ska lagras.(84)

99.      Nu återstår avslutningsvis att undersöka om direktiv 2006/24 kan anses vara proportionerligt i begreppets strikta betydelse.

100. I detta sista skede av undersökningen av huruvida direktiv 2006/24 är proportionerligt i den mening som avses i artikel 5.4 FEU, måste det konstateras att omfattningen av det ingripande på området för reglering av de grundläggande rättigheterna som intrånget i rätten till respekt för privatlivet representerar – vilken rätt medlemsstaterna är skyldiga att iaktta vid genomförandet av direktiv 2006/24 är uppenbart oproportionerlig i förhållande till direktivets övervägande syfte, som är att säkerställa att den inre marknaden fungerar väl(85) och som motiverade att direktivet antogs på grundval av artikel 95 EG. Inverkan av direktiv 2006/24, på grund av dess väsentliga omfattning, på medlemsstaternas regleringsbefogenheter och dess befogenheter att garantera innehållet i de grundläggande rättigheterna får i detta avseende inte underskattas.

101. Som jag har angett ovan föreskrivs i direktiv 2006/24 en skyldighet för leverantörer av elektroniska kommunikationstjänster att samla in och lagra uppgifter, vilken genom undantag från de principer som fastställs i direktiv 95/46 och direktiv 2002/58 bland annat utgör ett väsentligt intrång i rätten till respekt för privatlivet, samtidigt som det överlåts på medlemsstaterna att på ett effektivt sätt säkerställa att de grundläggande rättigheterna iakttas.

102. Det väsentliga intrång i rätten till respekt för privatlivet som medlemsstaterna – som en förljd av den grundläggande verkan som direktiv 2006/24 har – förväntas införliva i sina nationella rättsordningar framstår således som oproportionerligt i förhållande till enbart nödvändigheten att säkerställa att den inre marknaden fungerar väl, samtidigt som det måste anses att insamlingen och lagringen utgör lämpliga och till och med nödvändiga medel för att uppnå direktivets slutliga syfte, det vill säga att säkerställa att nämnda uppgifter är tillgängliga för utredning och åtal av allvarliga brott. Kort sagt uppfyller direktiv 2006/24 inte proportionalitetskravet av samma skäl som motiverade dess rättsliga grund. Skälet till att direktivet kunde antas på grundval av den ifrågavarande rättsliga grunden är paradoxalt nog skälet till att det inte kan godkännas eftersom det inte uppfyller proportionalitetsprincipen.

103. Frågan är emellertid inte så enkel, eftersom hänsyn måste tas till att ett ”övervägande” syfte inte är det samma som det ”enda” syftet, även om det övervägande syftet i fråga har spelat en avgörande roll vid fastställandet av den korrekta rättsliga grunden. Det bör medges att det inom ramen för prövningen av huruvida direktiv 2006/24 är proportionerligt i den mening som avses i artikel 5.4 FEU även finns ett utrymme för att beakta direktivets slutliga syfte, som är att bekämpa grov brottslig verksamhet. Mot denna bakgrund skulle direktiv 2006/24, i egenskap av unionsrättsakt och om man inte beaktar huruvida direktivet är proportionerligt i den mening som avses i artikel 52.1 i stadgan, utan svårighet kunna anses uppfylla proportionalitetskravet i den mening som avses i artikel 5.4 FEU och betraktas som lämpligt, nödvändigt och till och med proportionerligt i begreppets strikta betydelse.

104. Den slutliga frågan är emellertid huruvida problem som rör en unionsrättsakts proportionalitet i begreppets strikta betydelse i förhållande till det övervägande syfte som rättsakten eftersträvar kan rättas till genom att beakta ett syfte som befinner sig i ”bakgrunden”. Denna fråga är desto svårare, eftersom den ställs i ett sammanhang där den rättsliga grunden för rättsakten i fråga har godkänts just med beaktande av dess övervägande syfte.

105. Eftersom direktiv 2006/24, i egenskap av en rättsakt som begränsar utövandet av de grundläggande rättigheterna, även bör underställas en prövning av huruvida det är proportionerligt i den mening som avses i artikel 52.1 i stadgan, är det emellertid enligt min åsikt inte nödvändigt att slutgiltigt avgöra denna fråga inom ramen för de nu aktuella målen.

C –    De krav som följer av artikel 52.1 i stadgan (andra frågan i mål C‑293/12 och första frågan i mål C‑594/12)

106. Genom direktiv 2006/24, som syftar till att, inom ramen för den möjlighet som erbjuds i artikel 15.1 i direktiv 2002/58, harmonisera de bestämmelser som medlemsstaterna har antagit, har det, såsom jag redan har betonat ovan, inrättats ett system som delvis avviker från de principer som fastställs i sistnämnda direktiv och i direktiv 95/46, vilka säkerställer rätten till skydd av personuppgifter och därigenom rätten till respekt för privatlivet.

107. Det intrång i rätten till respekt för privatlivet som direktiv 2006/24 innebär kan endast tillåtas om det uppfyller villkoren i artikel 52.1 i stadgan, det vill säga är föreskrivet i lag och kraven på de egenskaper som en lag måste ha är uppfyllda, är förenligt med det väsentliga innehållet i nämnda rättighet och är proportionerligt, det vill säga är nödvändigt och faktiskt svarar mot de mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

1.      De egenskaper som en lag måste ha

108. Det behöver i förevarande fall knappast ens påpekas att eftersom insamlingen och lagringen av uppgifter i syfte att de ska vara tillgängliga föreskrivs i direktiv 2006/2, måste det anses att det intrång i rätten till respekt för privatlivet som direktivet innebär är formellt föreskrivet i lag i den mening som avses i artikel 52.1 i stadgan.

109. Domstolens syn på villkoret att en begränsning ska vara ”föreskriven i lag” bör, med beaktande av bestämmelserna i artikel 52.3 i stadgan, ligga nära den syn som har framförts av Europeiska domstolen för de mänskliga rättigheterna, det vill säga detta villkor måste vara mer än ett rent formellt krav och även omfatta att lagen ska vara tillräckligt precis (en ”egenskap som lagen måste ha”)(86), för att uttrycka det så enkelt som möjligt.(87)

110. Det är riktigt att en sådan prövning lika väl kan göras inom ramen för en utförlig bedömning av huruvida begränsningen är proportionerlig.(88) Men jag anser att det första alternativet bör väljas, om så bara för att följa rättspraxis från Europeiska domstolen för de mänskliga rättigheterna.

111. När kravet att varje begränsning ska vara föreskriven i lag ses som mer än ett rent formellt krav, uppkommer frågan huruvida de begränsningar av utövandet av de grundläggande rättigheterna som direktiv 2006/24 innebär åtföljs av tillräckligt detaljerade garantier, såsom det krävs när sådana begränsningar föreskrivs.

112. I artikel 4 i direktiv 2006/24 anges att det ankommer på medlemsstaterna att anta åtgärder för att säkerställa att uppgifter som lagras endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. I den andra meningen anges att ”[d]e förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter”.

113. Problemet med direktiv 2006/24, för att upprepa det ännu en gång, är att man genom detta direktiv har infört en skyldighet för leverantörer av elektroniska kommunikationstjänster att samla in och lagra trafik- och lokaliseringsuppgifter avseende elektronisk kommunikation, men inga garantier som reglerar tillgången till de lagrade uppgifterna och användningen av dem. I direktiv 2006/24 överlåts detta allmänt på medlemsstaterna, som det anges ovan.(89)

114. Den fråga som således uppkommer är helt enkelt huruvida det för att kravet att varje begränsning av de grundläggande rättigheterna ska vara ”föreskriven i lag” ska vara uppfyllt räcker med ett sådant generellt överlåtande på medlemsstaterna, även om det åtföljs av en uttrycklig hänvisning till de rättigheter som garanteras genom direktiv 95/46 och direktiv 2002/58.

115. Det bör här preciseras att en situation där unionen endast antar lagstiftning för att harmonisera bestämmelser som har antagits av flertalet av medlemsstaterna inte kan jämföras med en situation där unionen dessutom beslutar att göra denna lagstiftning allmänt tillämplig.

116. I det förstnämnda fallet kan unionen gå tillväga på det sätt som den har gjort med direktiv 2002/58, det vill säga huvudsakligen överlåta på de nationella lagstiftarna att säkerställa att den lagstiftning som de antar på eget initiativ och genom vilken grundläggande rättigheter begränsas innehåller alla nödvändiga garantier för att dessa begränsningar och deras tillämpning (”tillgång”) uppfyller alla krav på de egenskaper som en lag måste ha och proportionalitetsprincipen.

117. I det andra fallet däremot, när begränsningen av de grundläggande rättigheterna härrör från själva unionslagstiftningen, och lagstiftningen således kan tillskrivas unionen, är det ansvar som åligger unionen ett helt annat. När det rör sig om ett direktiv står det klart att det ankommer på medlemsstaterna att närmare utforma de garantier som behövs för att avgränsa begränsningen av de grundläggande rättigheterna i ett sådant fall som det nu aktuella fallet. Det står emellertid även klart att unionslagstiftaren bör anta en ledande roll vid själva fastställandet av dessa garantier. Det är mot denna bakgrund som det bör undersökas huruvida kravet att lagen har de egenskaper som en lag måste ha är uppfyllt.

118. Övergången från ett frivilligt system av det slag som kan inrättas på grundval av artikel 15 i direktiv 2002/58 till ett föreskrivande system som ska införas inom en viss tidsfrist, av det slag som inrättats genom direktiv 2006/24, borde med andra ord ha åtföljts av en parallell utveckling avseende garantierna, och borde således ha föranlett unionslagstiftaren att, genom antagande av specifikationer i form av principer, principiellt reglera den mycket omfattande delegeringen till medlemsstaterna av befogenheten att bestämma om tillgången till uppgifterna och deras användning.

119. Det är viktigt att påpeka för det första att det i både direktiv 95/46 och direktiv 2002/58 anges att de åtgärder som medlemsstaterna får vidta för att begränsa de garanterade rättigheterna måste fastställas i lagstiftning.(90) I direktiv 2006/24 nämns detta formella krav emellertid endast i förbigående,(91) vilket försvagar nivån på de garantier som fastställs i de direktiv från vilka det föreskriver undantag.(92)

120. När unionslagstiftaren antar en rättsakt genom vilken skyldigheter införs som innebär ett väsentligt intrång i unionsmedborgarnas grundläggande rättigheter kan han inte helt överlåta på medlemsstaterna att fastställa de garantier som motiverar detta. Unionslagstiftaren kan inte överlåta på de behöriga lagstiftande och/eller administrativa myndigheterna i medlemsstaterna, på vilka det ankommer att anta nationella åtgärder för rättsaktens genomförande, att fastställa dessa garantier, inte heller kan unionslagstiftaren helt anförtro denna uppgift åt de rättsliga myndigheter som ska kontrollera rättsaktens konkreta tillämpning. För att inte bestämmelserna i artikel 51.1 i stadgan ska vara meningslösa, måste unionslagstiftaren ta sin del av ansvaret och ange åtminstone de principer som ska gälla vid fastställandet, införandet och tillämpningen av dessa garantier samt vid kontrollen av att de iakttas.

121. Som jag redan har påpekat ett par gånger reglerar direktiv 2006/24, som det anges i artikel 4,(93) inte tillgången(94) till de insamlade och lagrade uppgifterna och inte heller användningen av dem, och detta är inte heller möjligt på grund av befogenhetsfördelningen mellan medlemsstaterna och unionen.(95) Men frågan i förevarande fall är just huruvida unionen kan(96) föreskriva en åtgärd som innebär skyldighet att samla in och varaktigt lagra uppgifter utan att samtidigt, åtminstone i form av principer, reglera denna åtgärd genom garantier som avser villkoren för tillgång och användning. Det är just regleringen av villkoren för tillgång och användning av de insamlade och lagrade uppgifterna som gör det möjligt att få en uppfattning om vad intrånget konkret innebär och som således kan avgöra om intrånget är konstitutionellt godtagbart eller inte.

122. Det finns ett nära förhållande mellan den konkreta utformningen av skyldigheten att samla in och lagra uppgifter och de villkor på vilka uppgifterna vid behov ställs till förfogande för och används av de behöriga nationella myndigheterna. Det kan till och med anses att utan insikt om hur tillgången och användningen sker, är det egentligen inte möjligt att göra en välgrundad bedömning av det intrång som insamlingen och lagringen i fråga innebär.

123. Även om man beaktar att den rättsliga grunden för direktiv 2006/24 är att göra det möjligt att säkerställa en väl fungerande inre marknad och att samtliga närmare bestämmelser om tillgång till uppgifterna och deras användning inte kunde tas med i direktivet, innebär den grundläggande verkan av skyldigheten att samla in och lagra uppgifter som fastställs i direktivet att detta, som ett nödvändigt och oundgängligt komplement, borde ha åtföljts av en rad principiella garantier. Att allmänt överlåta detta på medlemsstaterna är inte tillräckligt och den skyddsordning som har inrättats genom direktiv 95/46(97) eller rambeslut 2008/977(98) kan inte användas för att åtgärda detta, eftersom den inte är tillämplig.

124. Även om man godtar den avgränsning som generaladvokaten Bot hänvisade till i sitt förslag till avgörande i det ovannämnda målet Irland mot parlamentet och rådet, och även om jag instämmer i hans åsikt att det åtminstone vid tidpunkten i fråga var svårt att infoga garantier avseende tillgången till de lagrade uppgifterna, fanns det inget som hindrade att unionslagstiftaren när han fastställde skyldigheten att samla in och lagra uppgifter även kunde ha fastställt en rad garantier åtminstone i form av principer, vilka medlemsstaterna kunde ha vidareutvecklat, i syfte att reglera användningen av uppgifterna, och på så sätt exakt och fullständigt kunde ha fastställt vad det intrång som följer av direktivet omfattar och hur det ser ut.

125. Det ankom således på unionslagstiftaren att fastställa de grundläggande principer som skulle gälla vid fastställandet av minimigarantier avseende tillgången till och användningen av insamlade och lagrade uppgifter, däribland nedan angivna garantier.

126. Med hänsyn till intrångets omfattning borde unionslagstiftaren ha tillhandahållit vägledning om vilka slag av brottslig verksamhet som kan motivera att de behöriga nationella myndigheterna ges tillgång till de insamlade och lagrade uppgifterna och borde ha preciserat detta närmare än endast ”allvarliga brott”.(99)

127. Unionslagstiftaren borde ha tillhandahållit vägledning beträffande medlemsstaternas bestämmelser om vem som ska ges tillgång till de insamlade och lagrade uppgifterna, och borde ha begränsat tillgången, om inte endast till rättsliga myndigheter,(100) så åtminstone till oberoende myndigheter, eller i annat fall ha fastställt att varje begäran om tillgång ska prövas av rättsliga myndigheter eller oberoende myndigheter. Unionslagstiftaren borde även ha föreskrivit att begäranden om tillgång ska prövas från fall till fall i syfte att begränsa de uppgifter som lämnas ut till det strikt nödvändiga.

128. Unionslagstiftaren kunde även ha förväntats fastställa principen att medlemsstaterna under vissa exceptionella omständigheter ska ha möjlighet att föreskriva om undantag avseende tillgången till lagrade uppgifter eller strängare villkor för tillgången när tillgång kan innebära en kränkning av de grundläggande rättigheter som garanteras genom stadgan, såsom rätten till medicinsk sekretess.

129. Unionslagstiftaren borde ha fastställt principen att de myndigheter som har tillgång till uppgifter är skyldiga att dels radera uppgifterna när de inte längre behövs, dels informera de berörda personerna om att man fått tillgång till uppgifterna, åtminstone i efterhand när det inte längre finns någon risk för att denna information kan skada effektiviteten av de åtgärder som motiverade användningen av uppgifterna i fråga.

130. Att ovanstående garantier som jag – om än inte uttömmande – har räknat upp är nödvändiga stöds av den omständigheten att unionslagstiftaren själv efter antagandet av direktiv 2006/24 antog rambeslut 2008/977, som garanterar skyddet för personuppgifter som behandlas inom ramen för polisiärt och straffrättsligt samarbete, och i det föreskrev just precis detta slag av garantier, dock endast inom ramen för överföring av uppgifter mellan medlemsstaterna. Tillämpningsområdet för rambeslut 2008/977 omfattar nämligen endast uppgifter som överförs mellan medlemsstaterna, såsom det framgår av bland annat skäl 9 i rambeslutet.(101)

131. Sammanfattningsvis är direktiv 2006/24 i sin helhet oförenligt med artikel 52.1 i stadgan, eftersom den skyldighet att lagra uppgifter som fastställs i direktivet begränsar utövandet av de grundläggande rättigheterna, utan att principer har fastställts avseende nödvändiga garantier som ska styra tillgången till och användningen av uppgifterna.

132. Det bör även påpekas att den omständigheten att medlemsstaterna ofta på eget initiativ och i enlighet med kraven i sina nationella rättsordningar har infört de garantier som det inte finns någon ansats till i direktiv 2006/24(102) visserligen bör beaktas, såsom det framgår nedan, men att denna omständighet naturligtvis inte kan frånta unionslagstiftaren dennes ansvar.

2.      Huruvida direktivet är proportionerligt i den mening som avses i artikel 52.1 i stadgan

133. Enligt artikel 52.1 i stadgan krävs inte endast att varje begränsning i utövandet av de grundläggande rättigheterna ska vara ”föreskriven i lag”, utan också att den ska vidtas med strikt iakttagande av proportionalitetsprincipen. Kravet på proportionalitet har, som jag redan har betonat, en särskild kraft inom ramen för stadgan, som det inte har inom ramen för artikel 5.4 FEU. Här rör det sig inte om den allmänna principen att unionens åtgärder ska vara proportionerliga, utan mycket mer specifikt om proportionalitet som ett grundläggande villkor för varje begränsning av de grundläggande rättigheterna.

134. Mot denna bakgrund kan det syfte som unionsinstitutionerna vill uppnå med direktiv 2006/24, det vill säga att säkerställa att lagrade uppgifter är tillgängliga för åtal av allvarliga brott, godkännas endast om det är förenligt med bland annat rätten till respekt för privatlivet.(103)

135. Med beaktande av de ovan undersökta kraven på att lagen i fråga måste innehålla tillräckliga garantier, åtminstone i form av principer, avseende tillgången till och användningen av de uppgifter som samlats in och lagrats av leverantörer av elektroniska kommunikationstjänster, bör det påpekas att det däremot inte krävs någon särskilt ingående undersökning av huruvida själva den lagring av uppgifterna som föreskrivs i direktiv 2006/24 är proportionerlig, dock med ett undantag.

136. Det syfte som direktiv 2006/24 eftersträvar, det vill säga att säkerställa att insamlade och lagrade uppgifter är tillgängliga för utredning, avslöjande och åtal av allvarliga brott, är de facto fullständigt legitimt, och direktivet kan, med beaktande av den begränsade prövning som domstolen kan utöva i detta hänseende, anses som lämpligt och till och med – med förbehåll för de garantier som borde föreskrivas i det – nödvändigt för att uppnå detta slutliga syfte.(104) Dessa garantier skulle framför allt kunna rättfärdiga den förteckning över kategorier av uppgifter som ska lagras, vilken ingår i artikel 5 i direktiv 2006/24 och som är väldigt lång.

137. Den omständigheten att det är möjligt att kringgå direktiv 2006/24 genom att använda vissa kommunikationssätt relativiserar onekligen i hög grad själva effektiviteten hos den ordning för insamling av trafik- och lokaliseringsuppgifter som föreskrivs i direktivet, särskilt när det gäller organiserad brottslighet och terrorism. Denna omständighet innebär emellertid inte att det kan anses att insamlingen och lagringen av uppgifter i sig är fullständigt olämplig för att uppnå de eftersträvade målen. Den gör inte heller att domstolen kan dra slutsatsen att det står klart att insamlingen och lagringen av uppgifter om dagliga elektroniska kommunikationer är fullständigt meningslös.

138. När det emellertid gäller huruvida åtgärden är nödvändig bör betydelsen av bestämmelserna i artikel 14 i direktiv 2006/24 betonas, i vilka det föreskrivs en skyldighet för kommissionen att sammanställa en(105) rapport(106) om tillämpningen av direktivet, bland annat på grundval av statistik som medlemsstaterna ska sammanställa i enlighet med artikel 10 i direktivet, samt att på denna grundval vid behov föreslå nödvändiga ändringar, särskilt vad avser listan över kategorier av uppgifter som ska samlas in och lagras och lagringstiden.

139. Eftersom direktiv 2006/24 inte innehåller någon bestämmelse om när direktivet ska upphöra att vara tillämpligt (”sunset clause”) ankommer det på unionslagstiftaren att regelbundet utvärdera de omständigheter som motiverar den väsentliga begränsning av utövandet av rätten till respekt för privatlivet som direktivet innebär, varvid det kan granskas om nämnda omständigheter fortfarande råder och begränsningen följaktligen kan anpassas eller till och med upphävas.

140. Med detta sagt ska jag nu avhandla det undantag som jag nämnde ovan och som rör huruvida artikel 6 i direktiv 2006/24, i vilken lagringstiden för de insamlade uppgifterna fastställs, är proportionerlig.

141. Artikel 6 i direktiv 2006/24 avser en av de grundläggande omständigheterna vid den lagring av uppgifter som direktivet är avsett att harmonisera eller i förekommande fall inrätta, nämligen dess begränsade tillämpning i tiden. Alla lagrade uppgifter ska i princip försvinna med tiden, och inget annat är heller tänkbart. Till skillnad från den princip som fastställs i direktiv 2002/58, där det i artikel 6.1 föreskrivs att trafikuppgifter som behandlas och lagras ska utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation,(107) föreskrivs i direktiv 2006/24 inte en skyldighet att radera uppgifterna så snart som möjligt, utan först efter det att en viss tid har förflutit. Medlemsstaterna ska säkerställa att de insamlade uppgifterna lagras under en period som inte i något fall får vara kortare än sex månader och som, med förbehåll för det undantag som föreskrivs i artikel 12 i direktiv 2006/24, inte får vara längre än två år. Det ankommer på de nationella lagstiftarna att fastställa lagringstiden.

142. Genom ovannämnda bestämmelse får den lagring av uppgifter (”data retention”) som avses i de aktuella målen en slags kontinuitet i tiden som på ett avgörande sätt bidrar till karakteriseringen av det intrång i rätten till respekt för privatlivet som direktiv 2006/24 innebär, särskilt jämfört med det intrång som bevarande av uppgifter (”data preservation”) skulle innebära, även kallat frysning av uppgifter.(108) Tanken att de insamlade uppgifterna inte får raderas förrän efter en viss tid är en av åtgärdens nyckelaspekter och syftar till att ge myndigheterna ökade möjligheter att vidta åtgärder mot vissa former av grov brottslighet. Frågan är emellertid huruvida bestämmelserna i artikel 6 i direktiv 2006/24, där en lagringstid på minst sex månader och högst två år fastställs, på ett tillfredsställande sätt uppfyller de krav som följer av proportionalitetsprincipen.

143. Även om det kan anses utrett att åtgärden i sig är legitim och lämplig, återstår det att bedöma om den är nödvändig och att undersöka om det eftersträvade målet kan uppnås genom en åtgärd som är mindre störande för åtnjutandet av de grundläggande rättigheterna i fråga. Jag vill i detta sammanhang precisera att medlemsstaterna inte kan anses bära hela ansvaret för att det eventuellt fastställs lagringstider på upp till två år. Eftersom det i direktiv 2006/24, inom ramen för dess harmoniserande funktion, fastställs en övre gräns på två år för lagringen av uppgifter, bör det prövas om denna bestämmelse som sådan uppfyller kravet på proportionalitet. Det är knappast nödvändigt att påpeka att det inte rör sig om huruvida en längre lagringstid och en längre tid då uppgifterna är tillgängliga är att föredra framför en kortare när det gäller att bekämpa grov brottslig verksamhet, utan huruvida en så lång lagringstid faktiskt är nödvändig ur proportionalitetssynpunkt.

144. Det kan i detta sammanhang först av allt erinras om att när uppgifter om konkreta och bestämda personer liksom i förevarande fall anhopas på icke fastställda platser i cyberrymden, tenderar detta alltid att betraktas som en anomali, oavsett lagringstiden. I princip bör en sådan lagring av uppgifter om personers privatliv, även om de aldrig används för något annat ändamål, aldrig få förekomma, och om den förekommer bör det endast få ske med hänsyn till andra oeftergivliga krav i samhället. En sådan situation kan endast få förekomma i undantagsfall och kan således inte få fortgå längre än vad som är absolut nödvändigt.

145. Den lagringstid som kan godtas med hänsyn till proportionalitetsprincipen kan inte fastställas definitivt, utan lagstiftaren måste ges ett visst utrymme för skönsmässig bedömning. Detta innebär emellertid inte att det inte är möjligt att göra en prövning, och till och med en ingående sådan, av huruvida lagringstiden är proportionerlig.

146. Det tycks mig i detta sammanhang ändamålsenligt att erinra om att en människa existerar under en per definition begränsad tid och att denna tid omfattar både det förflutna – personens egen historia och minnen, och nuet – det som man är med om eller just har varit med om, medvetenheten om det som händer just nu i livet.(109) Skiljelinjen mellan det förflutna och nuet kan vara svår att definiera och upplevs säkerligen olika av olika personer. Det behöver knappast diskuteras att en åtskillnad kan göras mellan uppfattningen av den tid som är och uppfattningen av den tid som har varit. Båda dessa uppfattningar kan påverkas av medvetenheten om ens eget liv – i högsta grad ”privatlivet” men även det ”registrerade” livet. Och det finns en skillnad beroende på om det ”registrerade livet” uppfattas som nuet, eller som det förflutna.

147. Jag anser att dessa överväganden kan spela in vid bedömningen av huruvida artikel 6 i direktiv 2006/24 är proportionerlig. Eftersom principen att all denna dokumentation kan lagras under en viss tid anses vara legitim, återstår det att undersöka om det är ofrånkomligt, det vill säga nödvändigt, att tillämpa den på enskilda personer under en tid som omfattar inte endast nuet utan också det förflutna.

148. Med fullständig medvetenhet om risken för subjektivitet anser jag att lagring av personuppgifter under en tid som ”varar i månader” bör särskiljas från lagring som ”varar i år”. I det första fallet berörs nuet och i det andra fallet det förflutna. Enligt detta synsätt är intrånget i rätten till respekt för privatlivet olika varje gång, och det måste varje gång kunna motiveras varför intrånget är nödvändigt.

149. Även om det finns tillräckliga skäl som rättfärdigar intrång i nuet kan jag inte se något skäl till att intrång i det förflutna skulle vara berättigade. Mer direkt uttryckt, och utan att förneka att det finns brottslig verksamhet som förbereds under lång tid i förväg, har jag i de olika ståndpunkter som anförts för att hävda att artikel 6 i direktiv 2006/24 är proportionerlig inte kunnat finna några tillräckliga skäl som motiverar varför den lagringstid för uppgifterna som medlemsstaterna ska fastställa skulle vara längre än ett år. Med andra ord, och med iakttagande av hela den försiktighet som alltid krävs vid detta slag av proportionalitetsprövning, har inga argument lyckats övertyga mig om att det är nödvändigt att lagra uppgifterna längre än ett år.

150. Det bör slutligen även understrykas att direktiv 2006/24 självt innehåller ytterligare ett argument, vilket utgörs av systemet med förlängning av den längsta föreskrivna lagringstiden. I artikel 12 i direktivet erbjuds medlemsstaterna nämligen en möjlighet att vid särskilda omständigheter, vilka inte anges i direktivet, förlänga den längsta lagringstid som har antagits i enlighet med i artikel 6. En sådan förlängning är emellertid möjlig endast under en begränsad period och ska motiveras och anmälas till kommissionen. Kommissionen har sex månader på sig att uttala sig om de planerade åtgärderna, det vill säga kontrollera huruvida de utgör godtycklig diskriminering eller dolda handelsrestriktioner mellan medlemsstater och huruvida de utgör ett hinder för en fungerande inre marknad.

151. Även om kommissionen enligt artikel 12.2 i direktiv 2006/24 får förkasta dessa åtgärder av vissa begränsade skäl, stärker förekomsten av detta förlängningssystem mig i åsikten att bestämmelsen i artikel 6 i direktivet, där det anges att den längsta lagringstiden kan vara upp till två år om det inte föreligger särskilda omständigheter, inte är nödvändig och bör anses som oförenlig med de krav som följer av artiklarna 7 och 52.1 i stadgan.

152. Av det ovanstående följer att artikel 6 i direktiv 2006/24 är oförenlig med artiklarna 7 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, eftersom den ålägger medlemsstaterna att säkerställa att de uppgifter som avses i artikel 5 i direktivet lagras under en period på upp till två år.

D –    Den tredje frågan i mål C‑293/12

153. Med beaktande av mina svar på de båda första grupperna av frågor från de hänskjutande domstolarna avseende giltigheten av direktiv 2006/24 är det inte nödvändigt att besvara High Courts tredje tolkningsfråga i mål C‑293/12 avseende huruvida nationella domstolar är skyldiga att pröva och bedöma huruvida de nationella åtgärderna för införlivande av ett direktiv är förenliga med det skydd som föreskrivs i stadgan. Enligt min mening står det dock klart att denna fråga måste besvaras jakande, med beaktande av bestämmelserna och inom ramen för artikel 51.1 i stadgan, vilket även har framhållits av alla parter som har yttrat sig på denna punkt.(110)

VI – Det konstaterade intrångets verkningar i tiden

154. Med beaktande av de slutsatser som jag har dragit på grundval av ovanstående resonemang återstår att undersöka följderna i tiden av en ogiltigförklaring av direktiv 2006/24.

155. Det bör erinras om att när domstolen i ett förfarande enligt artikel 267 FEUF konstaterar att en rättsakt som har antagits av unionsinstitutionerna inte är giltig, är rättsföljden av domstolens avgörande att unionsinstitutionerna är skyldiga att vida nödvändiga åtgärder för att komma till rätta med den konstaterade rättsstridigheten. Skyldigheten enligt artikel 266 FEUF, vilken gäller i fråga om en dom om ogiltigförklaring, är i sådana fall analogt tillämplig.(111)

156. När det är motiverat av tvingande rättssäkerhetshänsyn är domstolen med stöd av artikel 264 andra stycket FEUF – som analogt är tillämplig även inom ramen för en begäran av förhandsavgörande enligt artikel 267 FEUF angående giltigheten av unionsrättsakter – behörig att i varje enskilt fall avgöra och ange vilka verkningar av rättsakten i fråga som ska anses vara bestående.(112)

157. När konstaterandet att en unionsrättsakt är ogiltig grundar sig på en kränkning av de grundläggande rättigheterna, krävs en mycket uppmärksam avvägning av de olika intressena. I förevarande fall råder det ingen tvekan om att de slutliga syftena med inskränkningen av de grundläggande rättigheterna i fråga är relevanta och till och med angelägna. Den konstaterade ogiltigheten har emellertid en speciell karaktär. Dels är direktiv 2006/24 ogiltigt på grund av att det inte innehåller tillräcklig vägledning om de garantier som ska reglera tillgången till de insamlade och lagrade uppgifterna och användningen av dem (en egenskap som lagen måste ha), vilket dock kan rättas till genom de införlivandeåtgärder som medlemsstaterna antar. Dels har medlemsstaterna i allmänhet, såsom det framgår av de uppgifter som har lämnats till domstolen, varit återhållsamma vid utövandet av sina befogenheter avseende den längsta lagringstiden för uppgifterna.

158. Under dessa omständigheter bör verkningarna av konstaterandet att direktiv 2006/24 är ogiltigt skjutas upp till dess att unionslagstiftaren har vidtagit nödvändiga åtgärder för att rätta till den konstaterade ogiltigheten. Åtgärderna bör dock vidtas inom en rimlig frist.

VII – Förslag till avgörande

159. Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar tolkningsfrågorna från High Court i mål C‑293/12 och Verfassungsgerichtshof i mål C‑594/12 på följande sätt:

1)         Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG är i sin helhet oförenligt med artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, eftersom den skyldighet att lagra uppgifter som fastställs i direktivet begränsar utövandet av de grundläggande rättigheterna, utan att principer har fastställts avseende de nödvändiga garantier som ska styra tillgången till och användningen av uppgifterna.

2)         Artikel 6 i direktiv 2006/24 är oförenlig med artiklarna 7 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, eftersom den ålägger medlemsstaterna att säkerställa att de uppgifter som avses i artikel 5 i direktivet lagras under en period på upp till två år.


1 – Originalspråk: franska.


2 – Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, s. 54).


3 – Nedan kallad stadgan.


4 – Det bör påpekas att införlivandet av direktiv 2006/24 har föranlett flera fall av talan om fastställande av fördragsbrott och att en talan som grundar sig på artikel 260.3 FEUF fortfarande är anhängig vid domstolen (mål C‑329/12, kommissionen mot Tyskland).


5 – EGT L 281, s. 31. Angående de tvister som införlivandet av detta direktiv har föranlett, se dom av den 9 mars 2010 i mål C‑518/07, kommissionen mot Tyskland (REU 2010, s. I‑1885), av den 16 oktober 2012 i mål C‑614/10, kommissionen mot Österrike. Se även, mer allmänt, dom av den 20 maj 2003 i de förenade målen C‑465/00, C‑138/01 och C‑139/01, Österreichischer Rundfunk m.fl. (REG 2003, s. I‑4989), av den 6 november 2003 i mål C‑101/01, Lindqvist (REG 2003, s. I‑12971), av den 16 december 2008 i mål C‑524/06, Huber (REG 2008, s. I‑9705), av den 16 december 2008 i mål C‑73/07, Satakunnan Markkinapörssi och Satamedia (REG 2008, s. I‑9831), av den 7 maj 2009 i mål C‑553/07, Rijkeboer (REG 2009, s. I‑3889), av den 9 november 2010 i de förenade målen C‑92/09 och C‑93/09, Volker und Markus Schecke och Eifert (REU 2010, s. I‑11063), av den 24 november 2011 i mål C‑70/10, Scarlet Extended (REU 2011, s. I‑11959), av den 24 november 2011 i de förenade målen C‑468/10 och C‑469/10, ASNEF och FECEMED (REU 2011, s. I‑12181), och av den 30 maj 2013 i mål C‑342/12, Worten.


6 – EGT L 201, s. 37. Angående de tvister som införlivandet av detta direktiv har föranlett se dom av den 28 april 2005 i mål C‑375/04, kommissionen mot Luxemburg, av den 28 april 2005 i mål C‑376/04, kommissionen mot Belgien, och av den 1 juni 2006 i mål C‑475/04, kommissionen mot Grekland. Se även, mer allmänt, dom av den 29 januari 2008 i mål C‑275/06, Promusicae (REG 2008, s. I‑271), beslut av den 19 februari 2009 i mål C‑557/07, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (REG 2009, s. I‑1227), dom av den 5 maj 2011 i mål C‑543/09, Deutsche Telekom (REU 2011, s. I‑3441), domen i det ovannämnda målet Scarlet Extended, samt dom av den 19 april 2012 i mål C‑461/10, Bonnier Audio m.fl., och av den 22 november 2012 i mål C‑119/12, Probst.


7 – Nedan kallad lagen från 2005 om det straffrättsliga förfarandet.


8 – Datenschutzgesetz 2000, BGBl I 165/1999, i dess lydelse enligt BGBl. I 112/2011.


9 – Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl I 27/2011


10 – Telekommunikationsgesetz 2003, nedan kallad TKG 2003.


11 – Se, för artikelns lydelse, bilaga I, III.2.


12 – Nedan kallat DRI.


13 – Nedan kallad Europakonventionen.


14 – Nedan kallad B-VG.


15 – Nedan kallad IHRC.


16 – Nedan kallad datatillsynsmannen.


17 –      Dom av den 10 februari 2009 i mål C‑301/06, Irland mot parlamentet och rådet (REG 2009, s. I‑593).


18 – Se artikel 1.1 i direktiv 95/46.


19 – Se artikel 1.2 i direktiv 95/46.


20 – Se artiklarna 10 och 11 i direktiv 95/46.


21 – Se artikel 12 i direktiv 95/46.


22 – Se artikel 14 i direktiv 95/46.


23 – Se artikel 22 i direktiv 95/46.


24 – Europaparlamentets och rådets direktiv av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, EGT L 24, 1998, s. 1.


25 – Enligt ordalydelsen i artikel 1.2 i direktiv 2002/58.


26 – Se artikel 1.1 i direktiv 2002/58.


27 – Se särskilt, förutom artikel 5.2, även artikel 15.1 i direktiv 2002/58.


28 – Se artikel 5.1 i direktiv 2002/58.


29 – Min kursivering.


30 – Se bland annat de sex första skälen i direktiv 2006/24.


31 – För enkelhetens skull benämns dessa nedan ”leverantörer av elektroniska kommunikationstjänster”.


32 – Se skäl 21 och artikel 1.1 i direktiv 2006/24.


33 – Se skälen 4 och 5 i direktiv 2006/24.


34 – I artikel 3.1 i direktiv 2006/24 anges att den skyldighet att lagra uppgifter som föreskrivs i direktivet innebär en avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58.


35 – Se punkt 84.


36 – Enligt domstolens formulering i punkt 80 i domen i det ovannämnda målet Irland mot parlamentet och rådet.


37 – Se punkterna 80–81.


38 – Se punkt 72.


39 – Se punkterna 63 och 65–69.


40 – Se punkterna 64 och 70.


41 – Man ville undvika att skillnaderna mellan medlemsstaternas nationella bestämmelser skulle öka. Se domen i det ovannämnda målet Irland mot parlamentet och rådet, punkterna 64 och 70.


42 – Min kursivering.


43 – I skäl 5 i direktiv 2006/24 anges att medlemsstaternas nationella lagstiftning ”är i stor utsträckning olika”.


44 – Min kursivering.


45 – Se mitt resonemang nedan i punkt 76 beträffande denna känsla.


46 – Enligt doktrinen om en så kallad ”chilling effect” (avkylande effekt). US Supreme Court, Wiemann mot Updegraff, 344 US 183 (1952). Europadomstolens dom av den 25 oktober 2011 i målet Altuğ Taner Akçam mot Turkiet, ansökan nr 27520/07, § 81. Se bland annat ”The Chilling Effect in Constitutional Law”, Columbia Law Review, 1969, volym 69, nr 5, s. 808.


47 – Rådets rambeslut av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, s. 60).


48 – Som jag tidigare har haft tillfälle att påpeka i mitt förslag till avgörande i det ovannämnda målet Scarlet Extended, punkterna 74–80.


49 – Beträffande detta begrepp, se bland annat Hoffmann-Riem, W., ”Informationelle Selbstbestimmung in der Informationsgesellschaft – auf dem Wege zu einem neuen Konzept des Datenschutzes”, Archiv des öffentlichen Rechts, 1998, volym 123, s. 513, samt Poullet, Y., och Rouvroy, A., Le droit à l’autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l’importance de la vie privée pour la démocratie, dans État de droit et virtualité, Benyekhlef, K. och Trudel, P. (red.), Thémis, Montreal 2009, s. 158.


50 – Se skäl 15 i direktiv 2006/24.


51 – Se skäl 20 i direktiv 2006/24.


52 – Se, för ett liknande resonemang, generaladvokaten Kokotts förslag till avgörande i det ovannämnda målet Promusicae, punkt 51.


53 – Domen i det ovannämnda målet Volker und Markus Schecke och Eifert. Denna koppling fastställs även uttryckligen i förklaringarna till stadgan. Se Förklaring till artikel 8 – Skydd av personuppgifter, där det anges att artikel 8 i stadgan har grundats på artikel 8 i Europakonventionen, i vilken rätten till privatlivet stadfästs.


54 – Denna koppling innebär bland annat att rättspraxisen från Europeiska domstolen för de mänskliga rättigheterna avseende tolkningen av artikel 8 i Europakonventionen vad gäller skydd av personuppgifter, i vilken rätten till respekt för privatlivet och familjelivet stadfästs, i överensstämmelse med artikel 52.3 i stadgan behåller hela sin relevans vid tolkningen av artikel 8 i stadgan.


55 – Domen i det ovannämnda målet Volker und Markus Schecke och Eifert, punkt 52.


56 – Europeiska domstolen för de mänskliga rättigheterna har upprepade gånger slagit fast att det är ”varken möjligt eller nödvändigt att försöka definiera begreppet privatliv på ett uteslutande sätt”. Se, bland annat, domen av den 16 december 1992 i målet Niemietz mot Tyskland, ansökan nr 13710/88, serie A, nr 251‑B, § 29. Det är under alla omständigheter ett ”vitt” begrepp. Se domen av den 19 april 2002 i målet Pretty mot Förenade kungariket. Om begreppet privatliv, se bland annat Rubenfeld, J., ”The Right of Privacy”, Harvard Law Review, 1989, vol. 102, s. 737, De Schutter, O., ”La vie privée entre droit de la personnalité et liberté”, Revue trimestrielle des droits de l’homme, 1999, s. 827, Wachsmann, P., ”Le droit au secret de la vie privé”, i Sudre F., Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruylant, 2005, s. 119, Rigaux, F., ”La protection de la vie privée en Europe”, i Le droit commun de l’Europe et l’avenir de l’enseignement juridique, de Witte, B. och Forder, C. (red.), Metro, Kluwer, 1992, s. 185.


57 – Se skäl 9 i direktiv 2006/24.


58 – Se domen i det ovannämnda målet Irland mot parlamentet och rådet, punkt 57, och mitt resonemang nedan avseende det målet.


59 – Se, bland annat, domen av den 26 mars 1987 i målet Leander mot Sverige, serie A, nr 116, s. 22, § 48.


60 – Se, bland annat, domen av den 16 februari 2000 i målet Amann mot Schweiz, nr 27798/95, Recueil des arrêts et décisions 2000‑II, §§ 65, 69 och 80.


61 – Min kursivering.


62 – Se skäl 13 och artiklarna 1.2 och 5.2.


63 Se, före ett liknande resonemang, Nettesheim, M., Grundrechtsschutz der Privatheit, dans Der Schutzauftrag des Rechts, Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer, 2011, Volym 70, s. 7.


64 – Beträffande intrång till följd av endast innehav av information, som för övrigt hade samlats in innan Europakonventionen trädde i kraft, se Europadomstolens dom av den 4 maj 2000 i målet Rotaru mot Rumänien, ansökan nr 28341/95, Recueil des arrêts et décisions 2000‑V, § 46.


65 – I skäl 13 i direktiv 2006/24 anges att lagringsskyldigheten endast avser ”uppgifter som är tillgängliga”, vilket innebär att i fråga om uppgifter som avser internetbaserad e‑post och internettelefoni kan direktivet endast tillämpas på ”leverantörernas eller nätverksleverantörernas egna tjänster”.


66 – Det uttryck som Bundesverfassungsgericht använde i sitt beslut av den 2 mars 2010, nr 1 BvR 256/08, 1 BvR 263/08 och 1 BvR 586/08, http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html.


67 – Beträffande den moderna informationsteknikens, framför allt internets, reducerande verkan, se särskilt Europadomstolens dom av den 13 januari 2011 i målet Mouvement Raëlien Suisse mot Schweiz, ansökan nr 16354/06, § 54 och följande paragrafer, av den 16 februari 2010 i målet Akdaş mot Turkiet, ansökan nr 41056/04, § 28, och av den 16 juli 2009 i målet Willem mot Frankrike, ansökan nr 10883/05, §§ 36 och 38.


68 – Se artikel 3.1 i direktiv 2006/24, där lagringsskyldigheten fastställs.


69 – Se artikel 8 i direktiv 2006/24 som har rubriken Krav för lagring av uppgifter.


70 – Såsom Bundesverfassungsgericht påpekade i sitt ovannämnda beslut av den 2 mars 2010, § 214.


71 – För ett liknande resonemang, se Bast, J., och von Bogdandy, A., i Grabitz, Hilf och Nettesheim, Das Recht der Europäischen Union, Beck, 50. Lieferung 2013, Artikel 5, Streinz, R., in: Streinz, R. (ed.), EUV/AEUV, Beck, andra utgåvan. 2012, Artikel 5.


72 – Se artikel 4.2 a FEUF.


73 – Se dom av den 29 mars 2012 i mål C‑504/09 P, kommissionen mot Polen, punkt 79, och i mål C‑505/09 P, kommissionen mot Estland, punkt 81.


74 – Förslag till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG, KOM(2005) 438 slutlig.


75 – Se, bland annat, dom av den 6 december 2005 i de förenade målen C‑453/03, C‑11/04, C‑12/04 och C‑194/04, ABNA m.fl. (REG 2005, s. I‑10423), punkt 68, av den 8 juni 2010 i mål C‑58/08, Vodafone m.fl. (REU 2010, s. I‑4999), punkt 51, och av den 9 november 2010 i det ovannämnda målet Volker und Markus Schecke och Eifert, punkt 74.


76 – Denna beteckning användes av domstolen i domen i det ovannämnda målet Irland mot parlamentet och rådet, punkt 85


77 – Se, framför allt, dom av den 14 maj 2009 i mål C‑34/08, Azienda Agricola Disarò Antonio m.fl. (REG 2009, s. I‑4023), punkterna 76–83.


78 – Se domen i det ovannämnda målet Azienda Agricola Disarò Antonio m.fl., punkt 76 och där angiven rättspraxis.


79 – Se, framför allt, dom av den 19 november 1998 i mål C‑150/94, Förenade kungariket mot rådet (REG 1998, s. I‑7235).


80 – Se, bland annat, dom av den 1 februari 2007 i mål C‑266/05 P, Sison mot rådet (REG 2007, s. I‑1233), punkterna 32–34, av den 16 december 2008 i mål C‑127/07, Arcelor Atlantique och Lorraine m.fl. (REG 2008, s. I‑9895), punkt 57, och domen i det ovannämnda målet Vodafone m.fl., punkt 52.


81 – Se domen i det ovannämnda målet Vodafone m.fl., punkt 53.


82 – Se, bland annat, dom av den 12 juli 2001 i mål C‑189/01, Jippes m.fl. (REG 2001, s. I‑5689), punkterna 82 och 83, av den 10 december 2002 i mål C‑491/01, British American Tobacco (Investments) och Imperial Tobacco (REG 2002, s. I‑11453), punkt 123, av den 12 juli 2005 i de förenade målen C‑154/04 och C‑155/04, Alliance for Natural Health m.fl. (REG 2005, s. I‑6451), punkt 52, och av den 28 juli 2011 i mål C‑309/10, Agrana Zucker (REU 2011, s. I‑7333), punkt 84.


83 – Se skäl 6 i direktiv 2006/24.


84 – Se skäl 6 i direktiv 2006/24. Se även utvärderingsrapporten om direktiv 2006/24/EG om lagring av uppgifter från kommissionen till Europaparlamentet och rådet av den 18 april 2011, KOM(2011) 225 slutlig, punkt 3.2, nedan kallad utvärderingsrapporten om direktiv 2006/24.


85 – Se domen i det ovannämnda målet Irland mot parlamentet och rådet, punkt 85.


86 – Det bör betonas att domstolen hittills inte har haft tillfälle att uttala sig om innehållet i minimikraven på ”de egenskaper som lagen måste ha” och inte heller om de skyldigheter som åligger institutionerna respektive medlemsstaterna i detta hänseende.


87 – Se punkterna 88–100 i mitt förslag till avgörande i det ovannämna målet Scarlet Extended.


88 – Såsom Bundesverfassunsgericht gjorde i sitt ovannämnda beslut av den 2 mars 2010, §§ 197–203.


89 – För ett liknande resonemang, se domen i det ovannämnda målet Irland mot parlamentet och rådet.


90 – Se skäl 54 och artikel 13.1 och 13.2 i direktiv 95/46 och artikel 15.1 i direktiv 2002/58.


91 – Den enda hänvisningen till detta krav i direktiv 2006/24 finns i skäl 17, där det anges att det är nödvändigt att medlemsstaterna antar lagstiftande åtgärder som säkerställer att uppgifter som lagras i enlighet med detta direktiv bara är tillgängliga för behöriga nationella myndigheter i enlighet med nationell lagstiftning, samtidigt som berörda personers grundläggande rättigheter respekteras fullt ut. Denna precisering förekommer emellertid inte i artikel 4 i direktiv 2006/24 som innehåller motsvarande bestämmelser.


92 – Det bör erinras om att det, såsom domstolen har påpekat, bland annat av skäl 10 och artikel 1 i direktiv 95/46 framgår att direktivet även är avsett att inte medföra någon inskränkning av det skydd som säkerställs genom gällande nationella bestämmelser, utan tvärtom att i unionen säkerställa en hög skyddsnivå i fråga om grundläggande fri- och rättigheter med avseende på behandling av personuppgifter. Se dom av den 9 mars 2010 i det ovannämnda målet kommissionen mot Tyskland, punkt 22.


93 – I artikel 4 i direktiv 2006/24 anges att det ankommer på medlemsstaterna att säkerställa att uppgifter som lagras ”endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning” och att i den nationella lagstiftningen fastställa ”de förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter”.


94 – Min kursivering.


95 – Beträffande denna fråga, se punkterna 122 och följande punkter i generaladvokaten Bots förslag till avgörande inför domen i det ovannämnda målet Irland mot parlamentet och rådet. Se även artikel 3.2 första strecksatsen i direktiv 95/46 samt rambeslut 2008/977.


96 – Min kursivering.


97 – Beträffande behandling av personuppgifter som utgör ett led i statens verksamhet inom områdena straffrätt, allmän säkerhet och statens säkerhet se artikel 3.2 första strecksatsen i direktiv 95/46.


98 – Se artikel 1.2 och skälen 7 och 9 i rambeslut 2008/977.


99 – Se skäl 21 och artikel 1.1 i direktiv 2006/24.


100 – I artikel 4 i direktiv 2006/24 fastställs att endast behöriga nationella myndigheter ska ha tillgång till lagrade uppgifter, vilket innebär att tillgången inte nödvändigtvis förbehålls de rättsliga myndigheterna.


101 – Se även artikel 1.2 och skäl 7 i rambeslut 2008/977.


102 – Det bör här betonas att införlivandet av direktiv 2006/24 i medlemsstaterna inte har skett helt smärtfritt och fortfarande orsakar svårigheter av olika slag, vilket framgår av avgöranden som har meddelats av Curtea Constituțională (den rumänska författningsdomstolen, se beslut av den 8 oktober 2009, nr 1.258, för en översättning till engelska se <http://www.ccr.ro/files/products/D1258_091.pdf>), av Bundesverfassungsgericht (den tyska federala författningsdomstolen, se det ovannämnda beslutet av av den 2 mars 2010), av Ústavní Soud (den tjeckiska författningsdomstolen, se dom av den 22 mars 2011, Pl. ÚS 24/10, för en översättning till engelska se <http://www.usoud.cz/en/decisions/?tx_ttnews%5Btt_news%5D=40&cHash=bbaa1c5b1a7d6704af6370fdfce5d34c>), av Varhoven administrativen sad (Bulgariens högsta författningsdomstol, beslut av den 11 december 2008, nr 13627) och av Anotato Dikastirio tis Kypriakis Dimokratias (Cyperns högsta domstol, beslut av den 1 februari 2011, nr 183(Ι)/2007). En talan ska ha väckts vid Alkotmánybíróság (den ungerska författningsdomstolen, se ”Hungarian Data Retention Law – Challenged at the Constitutional Court”, EDRI-Gram nr 6.11, 4 juni 2008) och en annan ska vara anhängig vid Ustavno sodišče (Slovakiens författningsdomstol, se ”Slovenia: Information Commissioner challenges the Data Retention Law, EDRI-Gram nr 11.6, 27 mars 2013).


103 – Se domen i det ovannämnda målet Volker und Markus Schecke och Eifert, punkt 76.


104 – I skäl 9 i direktiv 2006/24 anges att direktivet utgör ett ”nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater och framför allt i allvarliga fall som organiserad brottslighet och terrorism”. Se även utvärderingsrapporten om direktiv 2006/24.


105 – Min kursivering.


106 – Kommissionen har fullgjort denna skyldighet genom utvärderingsrapporten om direktiv 2006/24.


107 – Principen att uppgifterna ska utplånas märks överallt i direktiv 2002/58, se närmare skälen 22, 23, 26, 27 och 28.


108 – Det är bevarande av uppgifter som avses i bland annat artikel 16 i Europarådets konvention om it-relaterad brottslighet, som undertecknades i Budapest den 23 november 2001. Beträffande detta begrepp, se utvärderingsrapporten om direktiv 2006/24.


109 – Elias, N., Du temps, Fayard, 1998, Rosa, H., Accélération. Une critique sociale du temps, La Découverte, 2013.


110 – Se, bland annat, dom av den 23 november 2010 i mål C‑145/09, Tsakouridis (REU 2010, s. I‑11979), punkterna 50–52, av den 21 februari 2013 i mål C‑472/11, Banif Plus Bank, punkt 29, av den 26 februari 2013 i mål C‑617/10, Åkerberg Fransson, punkterna 21 och 25–30.


111 – Se, bland annat, dom av den 9 september 2008 i de förenade målen C‑120/06 P och C‑121/06 P, FIAMM m.fl. mot rådet och kommissionen (REG 2008, s. I‑6513), punkt 123.


112 – Se, bland annat, dom av den 8 november 2001 i mål C-228/99, Silos (REG 2001, s. I‑8401), punkt 35, och av den 22 december 2008 i mål C‑333/07, Regie Networks (REG 2008, s. I‑10807), punkt 121.