Language of document : ECLI:EU:C:2014:238

DOMSTOLENS DOM (Store Afdeling)

8. april 2014 (*)(1)

»Elektronisk kommunikation – direktiv 2006/24/EF – offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af sådanne tjenester – gyldighed – artikel 7, 8 og 11 i Den Europæiske Unions charter om grundlæggende rettigheder«

I de forenede sager C-293/12 og C-594/12,

angående anmodninger om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af High Court (Irland) og Verfassungsgerichtshof (Østrig) ved afgørelser af henholdsvis den 27. januar og den 28. november 2012, indgået til Domstolen den 11. juni og den 19. december 2012, i sagerne:

Digital Rights Ireland Ltd (sag C-293/12)

mod

Minister for Communications, Marine and Natural Resources

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Irland

The Attorney General,

procesdeltager:

Irish Human Rights Commission,

og

Kärntner Landesregierung (sag C-594/12)

Michael Seitlinger

Christof Tschohl m.fl.,

har

DOMSTOLEN (Store Afdeling)

sammensat af præsidenten, V. Skouris, vicepræsidenten, K. Lenaerts, afdelingsformændene A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (refererende dommer), E. Juhász, A. Borg Barthet, C.G. Fernlund og J.L. da Cruz Vilaça samt dommerne A. Rosas, G. Arestis, J.-C. Bonichot, A. Arabadjiev, C. Toader og C. Vajda,

generaladvokat: P. Cruz Villalón

justitssekretær: fuldmægtig K. Malacek,

på grundlag af den skriftlige forhandling og efter retsmødet den 9. juli 2013,

efter at der er afgivet indlæg af:

–        Digital Rights Ireland Ltd ved F. Callanan, SC, og F. Crehan, BL, begge for solicitor S. McGarr

–        Michael Seitlinger ved Rechtsanwalt G. Otto

–        Christof Tschohl m.fl. ved Rechtsanwalt E. Scheucher

–        Irish Human Rights Commission ved P. Dillon Malone, BL, for solicitor S. Lucey

–        Irland ved E. Creedon og D. McGuinness, som befuldmægtigede, bistået af E. Regan, SC, og D. Fennelly, JC

–        den østrigske regering ved G. Hesse og G. Kunnert, som befuldmægtigede

–        den spanske regering ved N. Díaz Abad, som befuldmægtiget

–        den franske regering ved G. de Bergues, D. Colas og B. Beaupère-Manokha, som befuldmægtigede

–        den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato A. De Stefano

–        den polske regering ved B. Majczyna og M. Szpunar, som befuldmægtigede

–        den portugisiske regering ved L. Inez Fernandes og C. Vieira Guerra, som befuldmægtigede

–        Det Forenede Kongeriges regering ved L. Christie, som befuldmægtiget, bistået af barrister S. Lee

–        Europa-Parlamentet ved U. Rösslein, A. Caiola og K. Zejdová, som befuldmægtigede

–        Rådet for Den Europæiske Union ved J. Monteiro, E. Sitbon og I. Šulce, som befuldmægtigede

–        Europa-Kommissionen ved D. Maidani, B. Martenczuk og M. Wilderspin, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 12. december 2013,

afsagt følgende

Dom

1        Anmodningerne om præjudiciel afgørelse vedrører gyldigheden af Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54).

2        Den af High Court indgivne anmodning (sag C-293/12) vedrører en tvist mellem Digital Rights Ireland Ltd (herefter »Digital Rights«) og Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irland og Attorney General om lovligheden af lovgivningsmæssige og administrative foranstaltninger, der angår lagring af data vedrørende elektronisk kommunikation.

3        Den af Verfassungsgerichtshof indgivne anmodning (sag C-594/12) vedrører en række forfatningsretlige søgsmål, som er indbragt for denne ret af Kärntner Landesregierung (delstatsregeringen i Kärnten) samt af Michael Seitlinger, Christof Tschohl og 11 128 andre sagsøgere vedrørende spørgsmålet, om den lov, der gennemfører direktiv 2006/24 i national østrigsk ret, er forenelig med Bundesverfassungsgesetz (den østrigske forfatning).

 Retsforskrifter

 Direktiv 95/46/EF

4        Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31) har i henhold til dets artikel 1, stk. 1, til formål at sikre beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

5        Med hensyn til sikkerheden af behandlingen af sådanne oplysninger bestemmer det nævnte direktivs artikel 17, stk. 1:

»Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.«

 Direktiv 2002/58/EF

6        Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 (EUT L 337, s. 11, herefter »direktiv 2002/58«), har i henhold til dets artikel 1, stk. 1, til formål at harmonisere medlemsstaternes bestemmelser, som er nødvendige for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Den Europæiske Union. I henhold til samme artikels stk. 2 specificerer og supplerer dette direktivs bestemmelser direktiv 95/46 med henblik på at nå de førnævnte i stk. 1 omhandlede mål.

7        Med hensyn til sikkerhed i forbindelse med behandlingen af dataene bestemmer artikel 4 i direktiv 2002/58:

»1.      Udbyderen af en offentligt tilgængelig kommunikationstjeneste skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte sine tjenester, for netsikkerhedens vedkommende om nødvendigt sammen med udbyderen af det offentlige kommunikationsnet. Under hensyn til teknologiens stade og omkostningerne i forbindelse med gennemførelsen skal disse foranstaltninger garantere et sikkerhedsniveau, der står i forhold til risikoen.

1a.      Uden at det berører direktiv 95/46/EF, skal de i stk. 1 omhandlede foranstaltninger som minimum:

–        sikre, at kun autoriserede personer får adgang til personoplysningerne til lovlige formål

–        beskytte lagrede eller sendte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse og

–        gennemføre en sikkerhedspolitik for behandling af personoplysninger.

De relevante nationale myndigheder skal kunne kontrollere foranstaltninger truffet af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udstede henstillinger om bedste praksis vedrørende det sikkerhedsniveau, som disse foranstaltninger bør føre til.

2.      Hvor der er særlig risiko for brud på netsikkerheden, skal udbyderen af en offentligt tilgængelig kommunikationstjeneste informere abonnenterne herom samt, hvis risikoen ligger uden for de foranstaltninger, der skal træffes af udbyderen, om, hvorledes sådanne brud i givet fald kan forebygges, herunder angive de omkostninger, der sandsynligvis vil være forbundet hermed.«

8        For så vidt angår kommunikationshemmelighed og fortrolighed af trafikdata bestemmer det nævnte direktivs artikel 5, stk. 1 og 3:

»1.      Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.

[…]

3.      Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

9        Det hedder i artikel 6, stk. 1, i direktiv 2002/58:

»Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.«

10      Artikel 15, stk. 1, i direktiv 2002/58 bestemmer:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

 Direktiv 2006/24

11      Efter at have iværksat en høring med deltagelse af repræsentanter for de retshåndhævende myndigheder, den elektroniske kommunikationssektor og eksperter i databeskyttelse fremlagde Kommissionen den 21. september 2005 en konsekvensanalyse af de politiske alternativer vedrørende regler om lagring af trafikdata (herefter »konsekvensanalysen«). Denne analyse dannede grundlag for udarbejdelsen af forslaget til Europa-Parlamentets og Rådets direktiv om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58/EF (KOM(2005) 438 endelig, herefter »direktivforslaget«), der blev forelagt samme dag, og som førte til vedtagelsen af direktiv 2006/24 på grundlag af artikel 95 EF.

12      Fjerde betragtning til direktiv 2006/24 har følgende ordlyd:

»I artikel 15, stk. 1, i direktiv 2002/58/EF fastsættes de betingelser, i henhold til hvilke medlemsstaterne kan indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i nævnte direktivs artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9. En sådan indskrænkning skal være nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den offentlige ro og orden, f.eks. den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem.«

13      Ifølge første punktum i femte betragtning til direktiv 2006/24 »[har] [m]ange medlemsstater […] vedtaget lovgivning om tjenesteudbyderes lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger«.

14      Syvende til ellevte betragtning til det 2006/24 har følgende ordlyd:

»(7)      I sine konklusioner af 19. december 2002 fremhæver Rådet (retlige og indre anliggender), at den betydelige vækst i de muligheder, der ligger i elektronisk kommunikation, har medført, at data vedrørende anvendelsen af elektronisk kommunikation udgør et særdeles vigtigt og brugbart redskab i forebyggelse, efterforskning, afsløring og retsforfølgning af kriminalitet og strafbare handlinger, især organiseret kriminalitet.

(8)      I erklæringen om bekæmpelse af terrorisme, der blev vedtaget af Det Europæiske Råd den 25. marts 2004, blev Rådet pålagt at behandle foranstaltninger vedrørende opstilling af regler for tjenesteudbyderes lagring af kommunikationsdata.

(9)      Ifølge artikel 8 i konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (den europæiske menneskerettighedskonvention) [undertegnet i Rom den 4. november 1950, herefter »EMRK«] har enhver ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Offentlige myndigheder må kun gøre indgreb i udøvelsen af denne ret, hvis det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til bl.a. den nationale sikkerhed og den offentlige tryghed for at forebygge uro eller forbrydelse eller for at beskytte andres rettigheder og friheder. Da lagring af data har vist sig at være et sådant nødvendigt og effektivt efterforskningsredskab for retshåndhævelsen i flere medlemsstater, herunder navnlig i alvorlige sager som organiseret kriminalitet og terrorisme, er det nødvendigt at sikre, at de lagrede data er tilgængelige i forbindelse med håndhævelsen af loven i en vis periode på de vilkår, der er fastsat i dette direktiv. […]

(10)      Den 13. juli 2005 bekræftede Rådet på ny i sin erklæring om fordømmelse af terroristangrebene i London, at det er nødvendigt snarest muligt at vedtage fælles foranstaltninger vedrørende lagring af telekommunikationsdata.

(11)      Det er i undersøgelser blevet påvist, og medlemsstaterne har praktisk erfaring for, at trafikdata og lokaliseringsdata har stor betydning i efterforskning, afsløring og retsforfølgning af strafbare handlinger, og det er derfor nødvendigt på europæisk plan at sikre, at data, som genereres eller behandles af udbydere af elektronisk kommunikation, når de tilbyder offentlige elektroniske kommunikationstjenester eller offentlige kommunikationsnet, lagres i en vis periode på de i dette direktiv fastsatte betingelser.«

15      16., 21. og 22. betragtning til direktivet præciserer:

»(16) De forpligtelser, der i medfør af artikel 6 i direktiv 95/46/EF påhviler tjenesteudbyderne med hensyn til foranstaltninger til at sikre datakvaliteten samt deres forpligtelser i medfør af artikel 16 og 17 i nævnte direktiv med hensyn til foranstaltninger til at sikre fortrolighed og behandlingssikkerhed, finder fuldt ud anvendelse på data, der lagres i overensstemmelse med nærværende direktiv.

(21)      Målene for dette direktiv, nemlig at harmonisere udbydernes pligt til at lagre visse data og sikre, at disse data gøres tilgængelige i forbindelse med efterforskning, afsløring og retsforfølgning af alvorlige forbrydelser som defineret af de enkelte medlemsstater i deres nationale lovgivning, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af direktivets omfang og virkninger bedre gennemføres på fællesskabsplan. Fællesskabet kan derfor træffe foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå disse mål.

(22)      I dette direktiv overholdes de grundlæggende rettigheder og de principper, som bl.a. Den Europæiske Unions charter om grundlæggende rettigheder anerkender. Dette direktiv tilstræber sammen med direktiv 2002/58/EF navnlig at sikre, at de grundlæggende rettigheder overholdes i fuldt omfang, herunder at privatlivets fred og borgernes ret til kommunikation respekteres, samt at der sørges for beskyttelse af personoplysninger jf. artikel 7 og 8 i chartret.«

16      Direktiv 2006/24 fastsætter en pligt for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet til at lagre visse data, der genereres eller behandles af dem. I denne henseende bestemmer dette direktivs artikel 1-9, 11 og 13:

»Artikel 1

Formål og anvendelsesområde

1.      Formålet med dette direktiv er at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, for så vidt angår lagring af visse data, der genereres eller behandles af dem, med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning.

2.      Dette direktiv finder anvendelse på trafikdata og lokaliseringsdata vedrørende både juridiske og fysiske personer og på lignende data, der er nødvendige for at identificere abonnenten eller den registrerede bruger. Direktivet finder ikke anvendelse på indholdet af elektroniske kommunikationer, herunder oplysninger, der er indhentet over et elektronisk kommunikationsnet.

Artikel 2

Definitioner

1.      I dette direktiv anvendes definitionerne i direktiv 95/46/EF, Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) […] og i direktiv 2002/58/EF.

2.      I dette direktiv forstås ved:

(a)      »data«: trafikdata, lokaliseringsdata og lignende data, der er nødvendige for at identificere abonnenten eller brugeren

(b)      »bruger«: enhver juridisk eller fysisk person, der anvender en offentligt tilgængelig elektronisk kommunikationstjeneste til privat eller forretningsmæssig brug uden nødvendigvis at have abonneret på tjenesten

(c)      »telefontjeneste«: opkald (herunder taleopkald, voice mail, konferenceopkald eller dataopkald), supplerende tjenester (herunder viderestilling og omstilling) samt besked- og multimedietjenester (herunder SMS-, EMS- og MMS-tjenester)

(d)      »brugeridentitet«: en entydig identifikator, der tildeles en person, når vedkommende tegner abonnement eller lader sig registrere som bruger af en internetadgang eller internetkommunikationstjeneste

(e)      »celle-ID«: identiteten på den celle, hvorfra et mobiltelefonopkald kommer, eller hvor det afsluttes

(f)      »forgæves opkaldsforsøg«: telefonopkald, hvor der opnås forbindelse, men som ikke besvares, eller hvor netværkssystemet har grebet ind.

Artikel 3

Pligt til at lagre data

1.      Uanset artikel 5, 6 og 9 i direktiv 2002/58/EF vedtager medlemsstaterne foranstaltninger til at sikre, at de i artikel 5 i nærværende direktiv nævnte data, som genereres eller behandles af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for deres jurisdiktion, når de leverer de pågældende kommunikationstjenester, lagres i overensstemmelse med bestemmelserne i nærværende direktiv.

2.      Den i stk. 1 nævnte forpligtelse til lagring inkluderer den lagring af data, der er angivet i artikel 5, i forbindelse med forgæves opkaldsforsøg, hvor de pågældende data genereres eller behandles og lagres (for så vidt angår telefonidata) eller logges (for så vidt angår internetdata) af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for den pågældende medlemsstats jurisdiktion, når de leverer de pågældende kommunikationstjenester. Der stilles ikke i dette direktiv krav om lagring af data vedrørende opkald, hvor der ikke opnås forbindelse.

Artikel 4

Adgang til data

Medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Hver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig [EMRK], således som den er fortolket af Den Europæiske Menneskerettighedsdomstol.

Artikel 5

Kategorier af data, der skal lagres

1.      Medlemsstaterne sikrer, at følgende kategorier af data lagres i medfør af nærværende direktiv:

(a)      data, der er nødvendige for at spore og identificere kilden til en kommunikation:

1)      for så vidt angår fastnettelefoni og mobiltelefoni:

i)      A-nummeret

ii)      navn og adresse på abonnenten eller den registrerede bruger

2)      for så vidt angår internetadgang og e-mail og telefoni via internettet:

i)      tildelt brugeridentitet

ii)      den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt telefonnet

iii)      navn og adresse på den abonnent eller registrerede bruger, til hvem en internetprotokol-adresse (IP-adresse), en brugeridentitet eller et telefonnummer var tildelt på kommunikationstidspunktet

b)      data, der er nødvendige for at fastslå en kommunikations bestemmelsessted:

1)      for så vidt angår fastnettelefoni og mobiltelefoni:

i)      det eller de valgte numre (B-nummeret/-numrene) og, hvis der er tale om supplerende tjenester såsom viderestilling og omstilling, det eller de numre, som opkaldet ledes videre til

ii)      navn og adresse på abonnent(en)(erne) eller de(n) registrerede bruger(e)

2)      for så vidt angår e-mail og telefoni via internettet:

i)      brugeridentitet eller telefonnummer på den modtager, som et internettelefonopkald er rettet til

ii)      navn og adresse på abonnent(en)(erne) eller de(n) registrerede bruger(e) og brugeridentitet på den modtager, som kommunikation er rettet til

c)      data, der er nødvendige for at fastslå en kommunikations dato, klokkeslæt og varighed:

1)      for så vidt angår fastnettelefoni og mobiltelefoni: dato og klokkeslæt for kommunikationens begyndelses- og sluttidspunkt

2)      for så vidt angår internetadgang og e-mail og telefoni via internettet:

i)      dato og klokkeslæt for ind- og udlogning af internetadgangstjenester baseret på en bestemt tidszone og den dynamiske eller statiske IP-adresse, som udbyderen af internetadgangstjenesten har tildelt en kommunikation, samt brugeridentitet på abonnenten eller den registrerede bruger

ii)      dato og klokkeslæt for ind- og udlogning af e-mailtjeneste og telefonitjenester på internettet baseret på en bestemt tidszone

d)      data, der er nødvendige for at identificere kommunikationens type:

1)      for så vidt angår fastnettelefoni og mobiltelefoni: den anvendte telefontjeneste

2)      for så vidt angår e-mail og telefoni via internettet: den anvendte internettjeneste

e)      data, der er nødvendige for at identificere brugernes kommunikationsudstyr eller det, der fremstår som værende deres udstyr:

1)      for så vidt angår fastnettelefoni: A-nummeret og B-nummeret

2)      for så vidt angår mobiltelefoni:

i)      A-nummeret og B-nummeret

ii)      A-abonnentens IMSI-nummer (international mobilabonnents identitet)

iii)      A-abonnentens IMEI-nummer (internationalt mobiludstyrs identitet)

iv)      B-abonnentens IMSI-nummer

v)      B-abonnentens IMEI-nummer

vi)      ved forudbetalte anonyme tjenester dato og tidspunkt for første aktivering af tjenesten og den lokaliseringskode (celle-ID), hvorfra aktiveringen blev foretaget

3)      for så vidt angår internetadgang og e-mail og telefoni via internettet:

i)      A-nummeret med henblik på dial-up-adgang

ii)      den digitale abonnentlinje (DSL) eller andet endepunkt for kommunikationens ophavsmand

f)      data, der er nødvendige for at foretage en lokalisering af mobilt udstyr:

1)      lokaliseringskoden (celle-ID) ved kommunikationens begyndelse

2)      data, der med henvisning til deres celle-ID viser cellernes geografiske lokalisering i den periode, hvori der lagres kommunikationsdata.

2.      Data, der afslører indholdet af kommunikationen, kan ikke lagres i medfør af dette direktiv.

Artikel 6

Lagringsperioder

Medlemsstaterne sørger for, at de i artikel 5 omhandlede kategorier af data lagres i mindst seks måneder og højst to år fra datoen for kommunikationen.

Artikel 7

Databeskyttelse og datasikkerhed

Med forbehold af bestemmelser vedtaget i medfør af direktiv 95/46/EF og direktiv 2002/58/EF skal hver medlemsstat sikre, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet som et minimum respekterer følgende datasikkerhedsprincipper for data, der lagres i overensstemmelse med nærværende direktiv:

a)      de lagrede data skal være af samme kvalitet og være omfattet af den samme sikkerhed og beskyttelse som de data, der findes på nettet

b)      dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så de er beskyttet mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab, mod forringelse, ubeføjet eller ulovlig lagring, behandling, adgang eller udbredelse

c)      dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så det sikres, at kun særligt autoriserede personer får adgang til dataene,

og

d)      dataene skal tilintetgøres ved udløbet af lagringstiden, bortset fra data, der har været givet adgang til, og som er blevet gemt.

Artikel 8

Krav til lagringen af data

Medlemsstaterne sørger for, at de i artikel 5 nævnte data lagres i overensstemmelse med dette direktiv på en sådan måde, at de lagrede data og alle andre nødvendige oplysninger vedrørende disse data kan fremsendes uden unødig forsinkelse til de kompetente myndigheder på disses anmodning.

Artikel 9

Tilsynsmyndighed

1.      Hver medlemsstat udpeger en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser om de lagrede datas sikkerhed, som medlemsstaten vedtager i medfør af artikel 7. Disse myndigheder kan være de samme myndigheder som dem, der er nævnt i artikel 28 i direktiv 95/46/EF.

2.      De i stk. 1 nævnte myndigheder handler i fuld uafhængighed i forbindelse med udførelsen af det i samme stykke omhandlede tilsyn.

[…]

Artikel 11

Ændring af direktiv 2002/58/EF

I artikel 15 i direktiv 2002/58/EF indsættes følgende stykke:

»1a.      Stk. 1 finder ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til [direktiv 2006/24] til de formål, der er omhandlet i nævnte direktivs artikel 1, stk. 1.«

[…]

Artikel 13

Retsmidler, ansvar og sanktioner

»1.      Hver medlemsstat træffer de nødvendige foranstaltninger for at sikre, at de nationale foranstaltninger til gennemførelse af kapitel III i direktiv 95/46/EF om retsmidler, ansvar og sanktioner er iværksat i fuldt omfang for så vidt angår behandling af data i henhold til nærværende direktiv.

2.      Hver medlemsstat træffer navnlig de nødvendige foranstaltninger for at sikre, at forsætlig adgang til eller overførsel af data lagret i overensstemmelse med dette direktiv, som ikke er tilladt i henhold til national lovgivning vedtaget i medfør af dette direktiv, pålægges sanktioner, herunder administrative eller strafferetlige sanktioner, der er effektive, forholdsmæssige og har afskrækkende virkning.«

 Tvisterne i hovedsagen og de præjudicielle spørgsmål

 Sag C-293/12

17      Digital Rights anlagde den 11. august 2006 sag ved High Court, og selskabet anførte herved, at det er ejer af en mobiltelefon, som blev registreret den 3. juni 2006, og som det har anvendt siden denne dato. Digital Rights anfægter lovligheden af nationale lovgivningsmæssige og administrative foranstaltninger, der angår lagring af data vedrørende elektronisk kommunikation, og har bl.a. nedlagt påstand for den forelæggende ret om, at det fastslås, at såvel direktiv 2006/24 som Part 7 i Criminal Justice (Terrorist Offences) Act 2005 (straffelov af 2005 (terrorhandlinger)), hvorefter telekommunikationsudbydere skal lagre trafik- og lokaliseringsdata vedrørende telekommunikation i et tidsrum, der er fastsat i loven, med henblik på forebyggelse, afsløring, efterforskning eller forfølgning af kriminalitet og beskyttelse af statens sikkerhed, er ugyldige.

18      High Court finder, at den ikke kan afgøre de spørgsmål vedrørende national ret, som er indbragt for den, uden en bedømmelse af gyldigheden af direktiv 2006/24, og har besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Er begrænsningen af sagsøgerens rettigheder hvad angår dennes brug af mobiltelefoni, der fremgår af kravene i artikel 3, 4 og 6 i direktiv 2006/24, uforenelig med artikel 5, stk. 4, TEU, for så vidt som den er uforholdsmæssig og unødvendig eller uhensigtsmæssig i forhold til at opfylde de lovlige mål om at:

a)      sikre, at der er adgang til visse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet

og/eller

b)      sikre den rette funktion af Den Europæiske Unions indre marked?

2)      Navnlig spørges, om

a)      direktiv 2006/24 er foreneligt med borgeres ret til at færdes og opholde sig frit på medlemsstaternes område, således som fastsat i artikel 21 TEUF

b)      direktiv 2006/24 er foreneligt med retten til privatliv, der er fastsat i chartrets artikel 7 og EMRK’s artikel 8

c)      direktiv 2006/24 er foreneligt med retten til beskyttelse af personlige oplysninger, således som fastsat i chartrets artikel 8

d)      direktiv 2006/24 er foreneligt med ytringsfriheden, således som fastsat i chartrets artikel 11 og EMRK’s artikel 10

e)      direktiv 2006/24 er foreneligt med retten til god forvaltning, således som fastsat i chartrets artikel 41.

3)      I hvilket omfang kræver traktaterne – navnlig princippet om loyalt samarbejde, der er opstillet i artikel 4, stk. 3, [TEU] – at en national ret skal undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af direktiv 2006/24 er forenelige med den beskyttelse, der ydes med [chartret], herunder dettes artikel 7 (jf. EMRK’s artikel 8)?«

 Sag C-594/12

19      Til grund for anmodningen om præjudiciel afgørelse i sag C-594/12 ligger en række sager anlagt ved Verfassungsgerichtshof af Kärntner Landesregierung samt af Michael Seitlinger, Christof Tschohl og 11 128 andre sagsøgere, der har nedlagt påstand om annullation af § 102a i Telekommunikationsgesetz 2003 (lov af 2003 om telekommunikation), som blev indsat i denne lov ved Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird (forbundslov om ændring af lov om telekommunikation, BGBl I, nr. 27/2011) med henblik på at gennemføre direktiv 2006/24 i østrigsk ret. Disse parter er bl.a. af den opfattelse, at den nævnte § 102a tilsidesætter borgernes grundlæggende ret til beskyttelse af deres data.

20      Verfassungsgerichtshof finder det bl.a. tvivlsomt, om direktiv 2006/24 er foreneligt med chartret, for så vidt som det i henhold til direktivet er tilladt at lagre et stort antal datatyper vedrørende et ubegrænset antal personer over længere tid. Datalagringen omfatter næsten udelukkende personer, hvis adfærd på ingen måde begrunder, at der lagres data, der vedrører dem. Disse personer udsættes for en forhøjet risiko for, at myndighederne undersøger deres data, gør sig bekendt med indholdet heraf, får oplysninger om deres privatliv og anvender disse data til forskelligartede formål, henset til bl.a. det uafgrænsede antal personer, der har adgang til dataene i en periode på mindst seks måneder. Ifølge den forelæggende ret er det dels tvivlsomt, om dette direktiv er egnet til at nå de mål, det forfølger, dels om indgrebet i de berørte grundlæggende rettigheder er forholdsmæssigt.

21      Under disse omstændigheder har Verfassungsgerichtshof besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Gyldigheden af retsakter udstedt af Unionens institutioner:

Er artikel 3-9 i direktiv 2006/24 forenelige med [chartrets] artikel 7, 8 og 11 […]?

2)      Fortolkning af traktaterne:

a)      Skal der, set i lyset af forklaringerne til chartrets artikel 8, der i henhold til chartrets artikel 52, stk. 7, er udarbejdet som en vejledning ved fortolkningen af [dette], og som Verfassungsgerichtshof skal inddrage behørigt, tages samme hensyn til direktiv 95/46 og Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [(EFT L 8, s. 1)] som til betingelserne i chartrets artikel 8, stk. 2, og artikel 52, stk. 1, ved bedømmelsen af gyldigheden af indgreb?

b)      Hvilket forhold er der mellem »EU-retten« som nævnt i chartrets artikel 52, stk. 3, sidste punktum, og de databeskyttelsesretlige direktiver?

c)      Skal der, henset til, at direktiv 95/46/EF og forordning […] nr. 45/2001 indeholder betingelser og begrænsninger for udøvelse af den grundlæggende ret til databeskyttelse i henhold til chartret, ved fortolkning af [dettes] artikel 8 tages hensyn til ændringer, der følger af senere sekundærret?

d)      Følger det af princippet om overholdelse af det højeste beskyttelsesniveau, som opstilles i chartrets artikel 53, når der henses til chartrets artikel 52, stk. 4, at grænserne for tilladte sekundærretlige indskrænkninger skal drages snævrere?

e)      Kan der, henset til chartrets artikel 52, stk. 3, præamblens femte afsnit og forklaringerne til [dets] artikel 7, hvorefter de rettigheder, der sikres i artikel 7, svarer til dem, der er sikret ved EMRK’s artikel 8, udledes synspunkter af Den Europæiske Menneskerettighedsdomstols praksis vedrørende EMRK’s artikel 8, som påvirker fortolkningen af chartrets artikel 8?«

22      Ved afgørelse truffet af Domstolens præsident den 11. juni 2013 blev sagerne C-293/12 og C-594/12 forenet med henblik på den mundtlige forhandling og dommen.

 Om de præjudicielle spørgsmål

 Det andet spørgsmål, litra b)-d), i sag C-293/12 og det første spørgsmål i sag C-594/12

23      Med det andet spørgsmål, litra b)-d), i sag C-293/12 og det første spørgsmål i sag C-594/12, som behandles samlet, anmoder de forelæggende retter nærmere bestemt Domstolen om at bedømme gyldigheden af direktiv 2006/24 i lyset af chartrets artikel 7, 8 og 11.

 Relevansen af chartrets artikel 7, 8 og 11 i relation til spørgsmålet om gyldigheden af direktiv 2006/24

24      Det fremgår af artikel 1 i direktiv 2006/24 og af 4., 5., 7.-11., 21. og 22. betragtning hertil, at hovedformålet med dette direktiv er at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, for så vidt angår lagring af visse data, der genereres eller behandles af disse udbydere, med henblik på at sikre, at der er adgang til disse data i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af grov kriminalitet, såsom organiseret kriminalitet og terrorisme, under overholdelse af de rettigheder, som er fastslået i chartrets artikel 7 og 8.

25      Den pligt, der i henhold til artikel 3 i direktiv 2006/24 er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet til at lagre de data, som er opregnet i direktivets artikel 5, med henblik på i påkommende tilfælde at gøre dem tilgængelige for de kompetente nationale myndigheder, rejser en række spørgsmål vedrørende beskyttelsen af såvel privatliv som kommunikation, som er fastslået i chartrets artikel 7, beskyttelsen af personoplysninger i henhold til chartrets artikel 8 samt respekten for ytringsfriheden, som er sikret ved chartrets artikel 11.

26      I denne henseende bemærkes, at de data, som udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet i henhold til artikel 3 og 5 i direktiv 2006/24 skal lagre, bl.a. er data, der er nødvendige for at spore og identificere kilden til en kommunikation og dens bestemmelsessted, fastslå en kommunikations dato, klokkeslæt, varighed og type, identificere brugernes kommunikationsudstyr og foretage en lokalisering af mobilt udstyr, dvs. data, der bl.a. omfatter navn og adresse på abonnenten eller den registrerede bruger, telefonnummer på den, der foretager opkaldet, og det kaldte nummer samt for internettjenester en IP-adresse. Disse data gør det bl.a. muligt at få kendskab til, med hvilken person og ved hjælp af hvilket kommunikationsmiddel en abonnent eller registreret bruger har kommunikeret, samt at tidsfæste kommunikationen og identificere det sted, hvorfra den har fundet sted. Desuden gør de det muligt at være bekendt med hyppigheden af abonnentens eller den registrerede brugers kommunikation med bestemte personer i en given periode.

27      Disse data vil tilsammen kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer.

28      Selv om direktiv 2006/24, som det fremgår af dets artikel 1, stk. 2, og artikel 5, stk. 2, ikke tillader lagring af indholdet af elektroniske kommunikationer, herunder oplysninger, der er indhentet over et elektronisk kommunikationsnet, er det på denne baggrund ikke udelukket, at den omhandlede lagring af data kan have indvirkning på abonnenters og registrerede brugeres brug af de kommunikationsmidler, som er omfattet af dette direktiv, og dermed på disse personers udøvelse af deres ytringsfrihed, som er sikret ved chartrets artikel 11.

29      Lagring af data med henblik på, at de kompetente nationale myndigheder eventuelt kan få adgang hertil, som omhandlet i direktiv 2006/24, vedrører direkte og specifikt privatlivet og dermed de rettigheder, som er sikret ved chartrets artikel 7. Herudover er en sådan lagring af data tillige omfattet af chartrets artikel 8, idet den udgør behandling af personoplysninger i denne artikels forstand og derfor nødvendigvis skal opfylde de krav vedrørende beskyttelse af sådanne oplysninger, der følger af denne artikel (dom Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 47).

30      Selv om de præjudicielle forelæggelser i de foreliggende sager navnlig rejser det principielle spørgsmål om, hvorvidt abonnenters og registrerede brugeres data under hensyn til chartrets artikel 7 kan lagres, vedrører de også spørgsmålet, om direktiv 2006/24 opfylder de krav til beskyttelse af personoplysninger, som følger af chartrets artikel 8.

31      På baggrund af de ovenstående betragtninger skal der med henblik på at besvare det andet spørgsmål, litra b)-d), i sag C-293/12 og det første spørgsmål i sag C-594/12 foretages en bedømmelse af gyldigheden af direktivet under hensyn til chartrets artikel 7 og 8.

 Spørgsmålet, om der foreligger et indgreb i de rettigheder, som er fastslået i chartrets artikel 7 og 8

32      Som generaladvokaten har påpeget i navnlig punkt 39 og 40 i forslaget til afgørelse, indebærer direktiv 2006/24, idet det foreskriver lagring af de i direktivets artikel 5, stk. 1, opregnede data, og idet det tillader, at de kompetente nationale myndigheder får adgang til disse data, en fravigelse af den ordning, som er indført ved direktiv 95/46 og 2002/58 med henblik på at beskytte retten til respekt for privatlivet, for så vidt angår behandling af personoplysninger inden for den elektroniske kommunikationssektor, idet de sidstnævnte direktiver foreskriver kommunikationshemmelighed og fortrolighed af trafikdata samt pligt til at slette disse data eller anonymisere dem, når de ikke længere er nødvendige for fremføringen af kommunikationen, medmindre – og kun så længe – de er nødvendige for faktureringen.

33      Ved afgørelsen af, om der foreligger et indgreb i den grundlæggende ret til respekt for privatlivet, er det uden betydning, om de videregivne oplysninger er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (jf. i denne retning dom Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 75).

34      Heraf følger, at den pligt, der i henhold til artikel 3 og 6 i direktiv 2006/24 er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet til i et nærmere bestemt tidsrum at lagre data vedrørende en persons privatliv og kommunikation som dem, der er omhandlet i dette direktivs artikel 5, i sig selv udgør et indgreb i de rettigheder, som er sikret ved chartrets artikel 7.

35      Desuden udgør de kompetente nationale myndigheders adgang til disse data et yderligere indgreb i denne grundlæggende ret (jf. for så vidt angår EMRK’s artikel 8 Den Europæiske Menneskerettighedsdomstols domme, Leander mod Sverige, 26.3.1987, serie A, nr. 116, § 48, og Rotaru mod Rumænien (Storkammeret), nr. 28341/95, § 46, ECHR 2000-V, samt Weber og Saravia mod Tyskland (afgørelse), nr. 54934/00, § 79, ECHR 2006-XI). Artikel 4 og 8 i direktiv 2006/24, der fastsætter regler om de kompetente nationale myndigheders adgang til dataene, indebærer derfor også et indgreb i de rettigheder, som er sikret ved chartrets artikel 7.

36      Direktiv 2006/24 indebærer ligeledes et indgreb i den grundlæggende ret til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 8, eftersom det foreskriver en behandling af personoplysninger.

37      Det må fastslås, at det indgreb i de grundlæggende rettigheder, der er fastslået i chartrets artikel 7 og 8, som direktiv 2006/24 indebærer, således som generaladvokaten også har anført i navnlig punkt 77 og 80 i forslaget til afgørelse, er meget vidtrækkende og må anses for at være af særligt alvorlig karakter. Den omstændighed, at lagringen af data og den efterfølgende anvendelse af dem finder sted, uden at abonnenten eller den registrerede bruger oplyses herom, er desuden, som generaladvokaten har anført i punkt 52 og 72 i forslaget til afgørelse, egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning.

 Spørgsmålet, om indgrebet i de rettigheder, som er sikret ved chartrets artikel 7 og 8, er begrundet

38      I henhold til chartrets artikel 52, stk. 1, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, være fastlagt i lovgivningen og respektere disse rettigheders og friheders væsentligste indhold, og der kan under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

39      Hvad angår det væsentligste indhold af den grundlæggende ret til respekt for privatlivet og de øvrige rettigheder, som er fastslået i chartrets artikel 7, må det fastslås, at selv om den lagring af data, som foreskrives i direktiv 2006/24, udgør et særlig alvorligt indgreb i disse rettigheder, er det ikke af en sådan art, at det indebærer en krænkelse af det væsentligste indhold af disse rettigheder, eftersom direktivet, således som det fremgår af dets artikel 1, stk. 2, ikke giver adgang til at gøre sig bekendt med selve indholdet af de elektroniske kommunikationer.

40      Denne lagring af data vil heller ikke kunne indebære en krænkelse af det væsentligste indhold af den grundlæggende ret til beskyttelse af personoplysninger, som er fastslået i chartrets artikel 8, eftersom artikel 7 i direktiv 2006/24 indeholder en regel om databeskyttelse og datasikkerhed, hvorefter udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet med forbehold af bestemmelser vedtaget i medfør af direktiv 95/46 og 2002/52 skal respektere visse principper for databeskyttelse og datasikkerhed, i overensstemmelse med hvilke medlemsstaterne sikrer, at der iværksættes de fornødne tekniske og organisatoriske foranstaltninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab eller forringelse af data.

41      Med hensyn til spørgsmålet, om det nævnte indgreb forfølger et mål af almen interesse, bemærkes, at selv om direktiv 2006/24 er tiltænkt at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt de nævnte udbydere for så vidt angår lagring af visse data, der genereres eller behandles af dem, er det materielle mål med dette direktiv, således som det fremgår af dets artikel 1, stk. 1, at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning. Det materielle mål med dette direktiv er derfor at bidrage til bekæmpelsen af grov kriminalitet og dermed i sidste ende til den offentlige sikkerhed.

42      Det fremgår af Domstolens praksis, at bekæmpelsen af international terrorisme med henblik på opretholdelse af international fred og sikkerhed udgør et mål for EU af almen interesse (jf. i denne retning domme Kadi og Al Barakaat International Foundation mod Rådet og Kommissionen, C-402/05 P og C-415/05 P, EU:C:2008:461, præmis 363, og Al-Aqsa mod Rådet, C-539/10 P og C-550/10 P, EU:C:2012:711, præmis 130). Det samme gælder for bekæmpelsen af grov kriminalitet med henblik på at sikre den offentlige sikkerhed (jf. i denne retning dom Tsakouridis, C-145/09, EU:C:2010:708, præmis 46 og 47). I øvrigt bemærkes i denne henseende, at chartrets artikel 6 fastslår, at enhver har ret til ikke alene frihed, men også sikkerhed.

43      I denne henseende fremgår det af syvende betragtning til direktiv 2006/24, at Rådet (retlige og indre anliggender) på grund af den betydelige vækst i de muligheder, der ligger i elektronisk kommunikation, i sine konklusioner af 19. december 2002 påpegede, at data vedrørende anvendelsen af elektronisk kommunikation udgør et særdeles vigtigt og brugbart redskab til forebyggelse af strafbare handlinger og bekæmpelse af kriminalitet, især organiseret kriminalitet.

44      Det må derfor fastslås, at lagring af data med henblik på, at de kompetente nationale myndigheder eventuelt kan få adgang hertil, som omhandlet i direktiv 2006/24, faktisk forfølger et mål af almen interesse.

45      Under disse omstændigheder skal det efterprøves, om det indgreb, som er fastslået, er forholdsmæssigt.

46      I denne henseende skal der henvises til, at proportionalitetsprincippet ifølge Domstolens faste praksis indebærer et krav om, at EU-institutionernes retsakter skal være egnede til at gennemføre de lovlige mål, som forfølges med den omhandlede lovgivning, og ikke går videre, end hvad der er nødvendigt og passende for gennemførelsen af disse mål (jf. i denne retning domme Afton Chemical, C-343/09, EU:C:2010:419, præmis 45, Volker und Markus Schecke og Eifert, EU:C:2010:662, præmis 74, Nelson m.fl., C-581/10 og C-629/10, EU:C:2012:657, præmis 71, Sky Österreich, C-283/11, EU:C:2013:28, præmis 50, og Schaible, C-101/12, EU:C:2013:661, præmis 29).

47      Hvad angår domstolskontrollen med overholdelsen af disse betingelser, når der er tale om indgreb i grundlæggende rettigheder, vil rækkevidden af EU-lovgivers skønsbeføjelse kunne være begrænset under hensyn til en række faktorer, herunder navnlig det omhandlede område, karakteren af den omhandlede rettighed, som er sikret ved chartret, karakteren og alvoren af indgrebet samt formålet hermed (jf. analogt for så vidt angår EMRK’s artikel 8 Den Europæiske Menneskerettighedsdomstols dom, S og Marper mod Det Forenede Kongerige (Storkammeret), nr. 30562/04 og 30566/04, § 102, ECHR 2008-V).

48      I det foreliggende tilfælde er EU-lovgivers skønsbeføjelse, henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels rækkevidden og alvoren af det indgreb i denne ret, som direktiv 2006/24 indebærer, begrænset, hvorfor der skal foretages en streng efterprøvelse.

49      Hvad angår spørgsmålet, om lagring af data er egnet til at gennemføre det mål, som forfølges med direktiv 2006/24, må det fastslås, at de data, som skal lagres i henhold til dette direktiv, henset til den stadigt større betydning af elektroniske kommunikationsmidler, giver de kompetente nationale myndigheder på det strafferetlige område yderligere muligheder for at opklare grov kriminalitet og derfor i denne henseende udgør et brugbart redskab i efterforskningen af straffesager. Lagring af sådanne data kan dermed anses for at være egnet til at gennemføre det mål, som forfølges med det nævnte direktiv.

50      Det kan ikke føre til et andet resultat, at der, som anført af bl.a. Christof Tschohl og Michael Seitlinger samt af den portugisiske regering i de skriftlige bemærkninger, som de har indgivet til Domstolen, eksisterer adskillige former for elektronisk kommunikation, som ikke er omfattet af anvendelsesområdet for direktiv 2006/24, eller som muliggør anonym kommunikation. Dette vil ganske vist kunne begrænse datalagringens egnethed til at opnå det mål, som forfølges, men vil dog ikke, som generaladvokaten har anført i punkt 137 i forslaget til afgørelse, kunne gøre denne lagring uegnet.

51      Hvad angår spørgsmålet, om den datalagring, som er foreskrevet i direktiv 2006/24, er nødvendig, skal det fastslås, at bekæmpelse af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, ganske vist er af afgørende betydning for at sikre den offentlige sikkerhed, og at effektiviteten heraf i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker. Et sådant mål af almen interesse kan imidlertid, hvor grundlæggende det end er, ikke i sig selv begrunde, at en foranstaltning med henblik på datalagring som den, der er indført med direktiv 2006/24, anses for nødvendig af hensyn til bekæmpelsen af grov kriminalitet.

52      Hvad angår retten til respekt for privatlivet kræver hensynet til beskyttelsen af denne grundlæggende ret ifølge Domstolens faste praksis under alle omstændigheder, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige (dom IPI, C-473/12, EU:C:2013:715, præmis 39 og den deri nævnte retspraksis).

53      I denne henseende skal der erindres om, at beskyttelsen af personoplysninger i medfør af den udtrykkelige pligt, som er fastsat i chartrets artikel 8, stk. 1, har en særlig betydning for retten til respekt for privatlivet, som er fastslået i chartrets artikel 7.

54      Den pågældende EU-lovgivning skal således fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning og opstiller en række mindstekrav, således at de personer, hvis data er blevet lagret, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger (jf. analogt for så vidt angår EMRK’s artikel 8 Den Europæiske Menneskerettighedsdomstols domme, Liberty m.fl. mod Det Forenede Kongerige, 1.7.2008, nr. 58243/00, §§ 62 og 63, Rotaru mod Rumænien, §§ 57-59, samt S og Marper mod Det Forenede Kongerige, § 99).

55      Behovet for at råde over sådanne garantier er så meget desto større, når personoplysningerne, som foreskrevet i direktiv 2006/24, undergives automatisk databehandling, og der eksisterer en betydelig risiko for ulovlig adgang til disse data (jf. analogt for så vidt angår EMRK’s artikel 8 Den Europæiske Menneskerettighedsdomstols domme, S og Marper mod Det Forenede Kongerige, § 103, samt M.K. mod Frankrig, 18.4.2013, nr. 19522/09, § 35).

56      Hvad angår spørgsmålet, om det indgreb, som direktiv 2006/24 indebærer, er begrænset til det strengt nødvendige, bemærkes, at dette direktiv i henhold til dets artikel 3, sammenholdt med dets artikel 5, stk. 1, foreskriver lagring af alle trafikdata vedrørende fastnettelefoni, mobiltelefoni, internetadgang samt e-mail og telefoni via internettet. Det omfatter således alle elektroniske kommunikationsmidler, hvis anvendelse er meget udbredt og af stadigt stigende betydning i den enkeltes dagligdag. Desuden omfatter dette direktiv i henhold til dets artikel 3 alle abonnenter og registrerede brugere. Det indebærer dermed et indgreb i de grundlæggende rettigheder for praktisk talt hele den europæiske befolkning.

57      I denne henseende skal det for det første fastslås, at direktiv 2006/24 generelt omfatter alle personer og alle elektroniske kommunikationsmidler og samtlige trafikdata uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til målet om at bekæmpe grov kriminalitet.

58      Direktiv 2006/24 omfatter således dels generelt alle personer, der gør brug af elektroniske kommunikationstjenester, uden at de personer, hvis data lagres, dog – end ikke indirekte – befinder sig i en situation, der vil kunne give anledning til strafferetlig forfølgning. Direktivet finder dermed anvendelse selv på personer, for hvis vedkommende der ikke findes noget som helst indicium for, at deres adfærd kan have – selv en indirekte eller fjern – forbindelse til grov kriminalitet. Endvidere indeholder det ikke nogen undtagelsesbestemmelse, således at det finder anvendelse selv på personer, hvis kommunikation i henhold til nationale retsregler er omfattet af tavshedspligt.

59      Dels kræver det nævnte direktiv, skønt det har til formål at bidrage til bekæmpelsen af grov kriminalitet, ikke nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed, og det er navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et bestemt tidsrum og/eller et bestemt geografisk område og/eller en given personkreds, der på den ene eller anden måde vil kunne være indblandet i grov kriminalitet, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til forebyggelse, afsløring og retsforfølgning af grov kriminalitet.

60      Ud over dette generelle fravær af grænser fastsætter direktiv 2006/24 for det andet ikke noget objektivt kriterium, som gør det muligt at afgrænse de kompetente nationale myndigheders adgang til dataene og den efterfølgende anvendelse heraf med henblik på forebyggelse, afsløring eller strafferetlig forfølgning vedrørende kriminalitet, der, henset til rækkevidden og alvoren af indgrebet i de rettigheder, som er fastslået i chartrets artikel 7 og 8, kan anses for tilstrækkeligt grov til at begrunde et sådant indgreb. Direktiv 2006/24 begrænser sig derimod til i artikel 1, stk. 1, at henvise generelt til grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning.

61      Hvad angår de kompetente nationale myndigheders adgang til dataene og den efterfølgende anvendelse heraf indeholder direktiv 2006/24 desuden ingen materielle og processuelle betingelser herfor. Dette direktivs artikel 4, som regulerer disse myndigheders adgang til de lagrede data, foreskriver ikke udtrykkeligt, at denne adgang og den efterfølgende anvendelse af de omhandlede data skal være strengt begrænset til forebyggelse og afsløring af præcist afgrænsede strafbare handlinger eller strafferetlig forfølgning vedrørende sådanne, men begrænser sig til at foreskrive, at hver medlemsstat fastsætter den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data, i overensstemmelse med kravet om nødvendighed og proportionalitet.

62      Direktiv 2006/24 fastsætter navnlig ikke noget objektivt kriterium, der gør det muligt at begrænse antallet af personer, der er bemyndigede til at få adgang til og efterfølgende anvende lagrede data til det strengt nødvendige, henset til det mål, som forfølges. Særligt er de kompetente nationale myndigheders adgang til lagrede data ikke undergivet en forudgående kontrol, der udøves af enten en retsinstans eller en uafhængig administrativ enhed, hvis afgørelse tjener til at begrænse adgangen til og anvendelsen af data til det strengt nødvendige med henblik på at nå det mål, som forfølges, og træffes på grundlag af en begrundet anmodning, som fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning. Der er heller ikke foreskrevet en præcis forpligtelse for medlemsstaterne til at fastsætte sådanne begrænsninger.

63      Med hensyn til varigheden af datalagringen foreskriver direktiv 2006/24 i artikel 6 for det tredje, at dataene skal lagres i et tidsrum af mindst seks måneder, uden at der på nogen måde foretages en sondring mellem de kategorier af data, som er fastsat i dette direktivs artikel 5, efter deres relevans for det mål, som forfølges, eller afhængigt af, hvilke personer der er berørt.

64      Lagringen er endvidere af en varighed på mellem mindst seks og højst 24 måneder, uden at det er præciseret, at fastsættelsen af lagringsperioden skal være baseret på objektive kriterier for at sikre, at den begrænses til det strengt nødvendige.

65      Det fremgår af det ovenstående, at direktiv 2006/24 ikke fastsætter klare og præcise regler, der regulerer rækkevidden af indgrebet i de grundlæggende rettigheder, som er fastslået i chartrets artikel 7 og 8. Det må derfor fastslås, at dette direktiv indebærer et indgreb i disse grundlæggende rettigheder, som er meget vidtrækkende og af særligt alvorlig karakter i EU’s retsorden, uden at dette indgreb er præcist afgrænset af bestemmelser, der gør det muligt at sikre, at det faktisk er begrænset til det strengt nødvendige.

66      Hvad angår reglerne om datasikkerhed og -beskyttelse for så vidt angår data, der lagres af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, må det herudover fastslås, at direktiv 2006/24 ikke fastsætter tilstrækkelige garantier, således som foreskrevet i chartrets artikel 8, der gør det muligt at sikre en effektiv beskyttelse af lagrede data mod risikoen for misbrug og mod enhver ulovlig adgang til og anvendelse af disse oplysninger. For det første fastsætter artikel 7 i direktiv 2006/24 således ikke regler, som er specifikke og tilpasset til den meget store mængde data, hvis lagring er foreskrevet i dette direktiv, til disse datas følsomme karakter samt til risikoen for ulovlig adgang til dataene, og som navnlig ville skulle udgøre en klar og streng regulering af beskyttelsen og sikkerheden af de omhandlede data med henblik på at sikre deres integritet og fortrolighed. Der er desuden heller ikke fastsat en præcis forpligtelse for medlemsstaterne til at fastsætte sådanne regler.

67      Artikel 7 i direktiv 2006/24, sammenholdt med artikel 4, stk. 1, i direktiv 2002/58 og artikel 17, stk. 1, andet afsnit i direktiv 95/46, sikrer ikke, at de nævnte udbydere anvender et særlig højt beskyttelses- og sikkerhedsniveau ved hjælp af tekniske og organisatoriske foranstaltninger, men tillader bl.a. disse udbydere at tage økonomiske hensyn i betragtning ved fastsættelsen af det sikkerhedsniveau, de anvender, for så vidt angår udgifterne til iværksættelse af sikkerhedsforanstaltningerne. Navnlig sikrer direktiv 2006/24 ikke en irreversibel destruktion af dataene ved udløbet af lagringsperioden.

68      For det andet skal det tilføjes, at det nævnte direktiv ikke foreskriver, at de omhandlede data lagres på EU’s område, hvorfor det ikke kan antages, at det fuldt ud er sikret, at overholdelsen af de krav vedrørende beskyttelse og sikkerhed, som er omhandlet i de to foregående præmisser, kontrolleres af en uafhængig myndighed, således som det udtrykkeligt kræves i chartrets artikel 8, stk. 3. En sådan kontrol, som gennemføres på grundlag af EU-retten, er imidlertid et væsentligt led i beskyttelsen af personer i forbindelse med behandling af personoplysninger (jf. i denne retning dom Kommissionen mod Østrig, C-614/10, EU:C:2012:631, præmis 37).

69      Henset til samtlige ovenstående betragtninger skal det fastslås, at EU-lovgiver ved vedtagelsen af direktiv 2006/24 har overskredet de grænser, som overholdelsen af proportionalitetsprincippet kræver, henset til chartrets artikel 7, 8 og 52, stk. 1.

70      Under disse omstændigheder er der ikke anledning til at behandle spørgsmålet om gyldigheden af direktiv 2006/24 i relation til chartrets artikel 11.

71      Det andet spørgsmål, litra b)-d), i sag C-293/12 og det første spørgsmål i sag C-594/12 skal derfor besvares med, at direktiv 2006/24 er ugyldigt.

 Det første spørgsmål og det andet spørgsmål, litra a) og e), samt det tredje spørgsmål i sag C-293/12 og det andet spørgsmål i sag C-594/12

72      Det fremgår af det i den foregående præmis fastslåede, at der ikke er anledning til at besvare det første spørgsmål, det andet spørgsmål, litra a) og e), samt det tredje spørgsmål i sag C-293/12 og det andet spørgsmål i sag C-594/12.

 Sagens omkostninger

73      Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den nationale ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er ugyldigt.

Underskrifter


* Processprog: engelsk og tysk.


1 Der er foretaget en teknisk rettelse af denne teksts hoved og i angivelsen af visse parter efter den oprindelige offentliggørelse.