FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
Y. BOT
fremsat den 14. oktober 2008 1(1)
Sag C-301/06
Irland
mod
Europa-Parlamentet
og
Rådet for Den Europæiske Union
»Annullationssøgsmål – direktiv 2006/24/EF – elektronisk kommunikation – lagring af data – valg af hjemmel – artikel 95 EF – EU-traktatens afsnit VI«
1. Domstolen har for nylig afsagt flere domme i tvister om valg af hjemmel, hvori den har måttet foretage en afgrænsning mellem de respektive områder for Det Europæiske Fællesskabs og Den Europæiske Unions kompetence (2).
2. Denne type af tvister skyldes den kompetencefordeling, der ligger til grund for den forfatningsmæssige opbygning af Fællesskabet og Unionen, og som består af tre søjler, nemlig en fællesskabssøjle og to andre søjler, i hvilke den mellemstatslige dimension er mere fremtrædende. I disse tvister påhviler der Domstolen den ømtålelige og komplicerede opgave, der består i at afgrænse de områder, som henhører under fællesskabslovgivers kompetence og dem, som henhører under kompetencen for lovgiver i Den Europæiske Union.
3. I den foreliggende sag anmodes Domstolen om at drage grænsen mellem fællesskabssøjlen og tredje søjle, dvs. EU-traktatens afsnit VI om politisamarbejde og retligt samarbejde i kriminalsager.
4. Under sagen har Irland nedlagt påstand om, at Domstolen annullerer Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (3) med den begrundelse, at direktivet ikke er vedtaget på grundlag af en korrekt hjemmel.
5. Irland er således af den opfattelse, og støttes på dette punkt af Den Slovakiske Republik, at artikel 95 EF ikke udgør et gyldigt retsgrundlag, men at det eneste gyldige retsgrundlag for de foranstaltninger, der er indeholdt i direktiv 2006/24, findes i EU-traktatens afsnit VI om politisamarbejde og retligt samarbejde i kriminalsager, navnlig i artikel 30 EU, artikel 31, stk.1, litra c), EU og artikel 34, stk. 2, litra b), EU.
6. Jeg skal i dette forslag til afgørelse gennemgå grundene til, at fællesskabslovgiver efter min opfattelse med rette har valgt at vedtage direktiv 2006/24 på grundlag af artikel 95 EF.
I – Retsforskrifter
7. Artikel 47 EU bestemmer:
»Med forbehold af bestemmelserne om ændring af traktaten om oprettelse af Det Europæiske Økonomiske Fællesskab med henblik på oprettelse af Det Europæiske Fællesskab, traktaten om oprettelse af Det Europæiske Kul- og Stålfællesskab og traktaten om oprettelse af Det Europæiske Atomenergifællesskab samt nærværende afsluttende bestemmelser er der intet i nærværende traktat, der berører traktaterne om oprettelse af De Europæiske Fællesskaber og senere traktater og akter om ændring eller supplering af disse.«
8. Atrikel 95, stk. 1, EF bestemmer:
»Uanset artikel 94 og medmindre andet er bestemt i denne traktat, finder følgende bestemmelser anvendelse med henblik på virkeliggørelsen af de i artikel 14 fastsatte mål. Rådet, der træffer afgørelse efter fremgangsmåden i artikel 251 og efter høring af Det Økonomiske og Sociale Udvalg, vedtager de foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion.«
9. Følgende tre direktiver er vedtaget på grundlag af artikel 95 EF:
– Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (4)
– Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation (5))
– direktiv 2006/24.
A – Direktiv 95/46
10. Direktiv 95/46 fastsætter regler om behandling af personoplysninger for at beskytte fysiske personers frihed og grundlæggende rettigheder, navnlig deres privatliv, og samtidig sikre den frie bevægelighed for disse data inden for Fællesskabet.
11. Artikel 3, stk. 2, i direktiv 95/46 fastsætter en begrænsning for direktivets materielle anvendelsesområde, idet den indeholder følgende bestemmelse:
»Dette direktiv gælder ikke for sådan behandling af personoplysninger,
– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
[…]«
12. Artikel 13, stk. 1, i direktiv 95/46, som ifølge overskriften vedrører »undtagelser og begrænsninger«, bestemmer:
»Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
a) statens sikkerhed
b) forsvaret
c) den offentlige sikkerhed
d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv
e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«
B – Direktiv 2002/58
13. Direktiv 2002/58 er vedtaget for at supplere direktiv 95/46 med en række særlige bestemmelser inden for sektoren for elektronisk kommunikation.
14. Artikel 1, stk 1, i direktiv 2002/58 indeholder følgende bestemmelse:
»Dette direktiv tager sigte på en harmonisering af medlemsstaternes bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig privatlivets fred i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Fællesskabet.«
15. I lighed med artikel 3, stk. 2, i direktiv 95/46 fastsætter artikel 1, stk. 3, i direktiv 2002/58 en begrænsning for dette direktivs anvendelsesområde, idet den bestemmer:
»Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af traktaten om oprettelse af Det Europæiske Fællesskab, som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«
16. Artikel 5, 6 og 9 i direktiv 2002/58 fastsætter de regler, som udbydere af telenet eller -tjenester skal overholde i forbindelse med behandling af trafikdata og lokaliseringsdata, der genereres ved brug af elektroniske kommunikationstjenester. Alle sådanne data skal slettes eller gøres anonyme, når de ikke længere er nødvendige for overføringen af en kommunikation, bortset fra de data, der er nødvendige med henblik på debitering af abonnenten og afregning for samtrafik. Hvis der er givet samtykke hertil, kan visse data også behandles med henblik på markedsføring eller levering af tillægstjenester.
17. Navnlig bestemmer artikel 6, stk. 1, i direktiv 2002/58:
»Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.«
18. Samme direktivs artikel 15, stk. 1, bestemmer:
»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«
C – Direktiv 2006/24
19. Betragtning 5-11 til direktiv 2006/24 indeholder følgende udtalelser:
»5) Mange medlemsstater har vedtaget lovgivning om tjenesteudbyderes lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der er store forskelle mellem disse nationale bestemmelser.
6) De retlige og tekniske forskelle mellem nationale bestemmelser om lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger er en hindring for det indre marked for elektronisk kommunikation, idet tjenesteudbyderne skal opfylde forskellige krav for så vidt angår de typer trafikdata og lokaliseringsdata, der skal lagres, og for så vidt angår betingelserne for lagring og lagringsperioden.
7) I sine konklusioner af 19. december 2002 fremhæver Rådet (retlige og indre anliggender), at den betydelige vækst i de muligheder, der ligger i elektronisk kommunikation, har medført, at data vedrørende anvendelsen af elektronisk kommunikation udgør et særdeles vigtigt og brugbart redskab i forebyggelse, efterforskning, afsløring og retsforfølgning af kriminalitet og strafbare handlinger, især organiseret kriminalitet.
8) I erklæringen om bekæmpelse af terrorisme, der blev vedtaget af Det Europæiske Råd den 25. marts 2004, blev Rådet pålagt at behandle foranstaltninger vedrørende opstilling af regler for tjenesteudbyderes lagring af kommunikationsdata.
9) Ifølge artikel 8 i konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, [som blev undertegnet i Rom den 4. november 1950 (herefter »menneskerettighedskonventionen«)], har enhver ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Offentlige myndigheder må kun gøre indgreb i udøvelsen af denne ret, hvis det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til bl.a. den nationale sikkerhed og den offentlige tryghed for at forebygge uro eller forbrydelse eller for at beskytte andres rettigheder og friheder. Da lagring af data har vist sig at være et sådant nødvendigt og effektivt efterforskningsredskab for retshåndhævelsen i flere medlemsstater, herunder navnlig i alvorlige sager som organiseret kriminalitet og terrorisme, er det nødvendigt at sikre, at de lagrede data er tilgængelige i forbindelse med håndhævelsen af loven i en vis periode på de vilkår, der er fastsat i dette direktiv. Vedtagelsen af et instrument til lagring af data, der er i overensstemmelse med kravene i [menneskerettighedskonventionens] artikel 8, er således en nødvendig foranstaltning.
10) Den 13. juli 2005 bekræftede Rådet på ny i sin erklæring om fordømmelse af terroristangrebene i London, at det er nødvendigt snarest muligt at vedtage fælles foranstaltninger vedrørende lagring af telekommunikationsdata.
11) Det er i undersøgelser blevet påvist, og medlemsstaterne har praktisk erfaring for, at trafikdata og lokaliseringsdata har stor betydning i efterforskning, afsløring og retsforfølgning af strafbare handlinger, og det er derfor nødvendigt på europæisk plan at sikre, at data, som genereres eller behandles af udbydere af elektronisk kommunikation, når de tilbyder offentlige elektroniske kommunikationstjenester eller offentlige kommunikationsnet, lagres i en vis periode på de i dette direktiv fastsatte betingelser.«
20. Det udtales endvidere i betragtning 15 til direktiv 2006/24:
»Direktiv 95/46/EF og direktiv 2002/58/EF finder fuld anvendelse på data, der lagres i overensstemmelse med nærværende direktiv […]«
21. Betragtning 21 til direktiv 2006/24 indeholder følgende udtalelse:
»Målene for dette direktiv, nemlig at harmonisere udbydernes pligt til at lagre visse data og sikre, at disse data gøres tilgængelige i forbindelse med efterforskning, afsløring og retsforfølgning af alvorlige forbrydelser som defineret af de enkelte medlemsstater i deres nationale lovgivning, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af direktivets omfang og virkninger bedre gennemføres på fællesskabsplan. Fællesskabet kan derfor træffe foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå disse mål.«
22. Samme direktivs betragtning 25 udtaler:
»Dette direktiv finder anvendelse uanset medlemsstaternes beføjelser til at træffe lovgivningsmæssige foranstaltninger vedrørende retten til adgang til og anvendelse af data for de af dem udpegede nationale myndigheder. Spørgsmål om adgangen til de data, som de nationale offentlige myndigheder lagrer i henhold til dette direktiv, til aktiviteter, der er omhandlet i artikel 3, stk. 2, første led, i direktiv 95/46/EF falder uden for fællesskabslovgivningens rammer. De kan derimod være underlagt nationale love eller foranstaltninger i medfør af afsnit VI i traktaten om Den Europæiske Union. Sådanne love eller foranstaltninger skal altid fuldt ud respektere de grundlæggende frihedsrettigheder, der følger af medlemsstaternes fælles forfatningsmæssige traditioner, og som er sikret i [menneskerettighedskonventionen]. Ifølge Den Europæiske Menneskerettighedsdomstols fortolkning af artikel 8 i [menneskerettighedskonventionen] skal offentlige myndigheders indgreb i privatlivets fred overholde krav om nødvendighed og proportionalitet og skal derfor tjene nærmere angivne, eksplicitte og lovlige formål og udøves på en måde, der er passende og relevant, og som står i et rimeligt forhold til indgrebets formål.«
23. Artikel 1, stk. 1, i direktiv 2006/24 bestemmer:
»Formålet med dette direktiv er at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, for så vidt angår lagring af visse data, der genereres eller behandles af dem, med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning.«
24. Ved samme direktivs artikel 3 indføres der en forpligtelse til lagring af data. Artikel 3, stk. 1, har følgende ordlyd:
»Uanset artikel 5, 6 og 9 i direktiv 2002/58/EF vedtager medlemsstaterne foranstaltninger til at sikre, at de i artikel 5 i nærværende direktiv nævnte data, som genereres eller behandles af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet inden for deres jurisdiktion, når de leverer de pågældende kommunikationstjenester, lagres i overensstemmelse med bestemmelserne i nærværende direktiv.«
25. Artikel 4 i direktiv 2006/24, som vedrører adgangen til lagrede data, bestemmer:
»Medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning. Hver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig [menneskerettighedskonventionen], således som den er fortolket af Den Europæiske Menneskerettighedsdomstol.«
26. Direktivets artikel 6 indeholder følgende bestemmelse vedrørende lagringsperioden:
»Medlemsstaterne sørger for, at de i artikel 5 omhandlede kategorier af data lagres i mindst seks måneder og højst to år fra datoen for kommunikationen.«
27. Hvad angår kravet til lagringen af data indeholder artikel 8 i direktiv 2006/24 følgende bestemmelse:
»Medlemsstaterne sørger for, at de i artikel 5 nævnte data lagres i overensstemmelse med dette direktiv på en sådan måde, at de lagrede data og alle andre nødvendige oplysninger vedrørende disse data kan fremsendes uden unødig forsinkelse til de kompetente myndigheder på disses anmodning.«
28. På grund af forpligtelsen efter direktiv 2006/24 til lagring af data er der ved direktivets artikel 11 indsat et nyt stykke i artikel 15 i direktiv 2002/58. Heri bestemmes:
»Punkt 1a. Stk. 1 finder ikke anvendelse på data, der udtrykkelig kræves lagret i henhold til […] direktiv 2006/24/EF til de formål, der er omhandlet i nævnte direktivs artikel 1, stk.1.«
29. Endelig indeholder artikel 12 i direktiv 2006/24 følgende bestemmelse:
»1. En medlemsstat, der står over for særlige omstændigheder, som berettiger til en forlængelse i en begrænset periode af den i artikel 6 omhandlede længste lagringsperiode, kan træffe de nødvendige foranstaltninger. Medlemsstaten underretter straks Kommissionen herom og informerer de øvrige medlemsstater om de foranstaltninger, der er truffet i medfør af denne artikel, og angiver grundene til, at de indføres.
2. Kommissionen godkender eller afviser inden seks måneder efter den i stk. 1 omhandlede meddelelse de påtænkte nationale foranstaltninger efter at have forvisset sig om, at de ikke udgør et middel til vilkårlig forskelsbehandling eller en skjult begrænsning af samhandelen mellem medlemsstaterne, eller om de udgør en hindring for det indre markeds funktion. Hvis Kommissionen ikke har truffet afgørelse inden for dette tidsrum, betragtes de nationale foranstaltninger som godkendt.
[…]«
II – Tvistens baggrund
30. Den 28. april 2004 fremsatte Den Franske Republik, Irland, Kongeriget Sverige og Det Forenede Kongerige Storbritannien og Nordirland et forslag for Rådet om vedtagelse af en rammeafgørelse på grundlag af artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU. Forslaget vedrørte tilbageholdelsen af data, som behandles og lagres i forbindelse med ydelse af elektroniske kommunikationstjenester, der er offentligt tilgængelige, eller af data, som overføres via offentlige kommunikationsnet med henblik på forebyggelse, efterforskning, opklaring og forfølgning af strafbare handlinger, herunder terrorisme (6).
31. Da Kommissionen fandt, at forslaget til rammeafgørelse indeholdt to dele, dels forpligtelserne for tjenesteudbyderne til i en vis periode at bevare trafikdata vedrørende dem, som bruger deres tjenesteydelser, dels forpligtelserne hvad angår adgangen til disse oplysninger for de myndigheder, som er kompetente på det strafferetlige område, og til at udveksle disse oplysninger, gik Kommissionen ind for, at artikel 95 EF burde anvendes som retsgrundlag for de foranstaltninger, der var indeholdt i første del af forslaget. Den angav navnlig, at en retsakt, som er baseret på EU-traktaten, ifølge artikel 47 EU ikke må berøre allerede gældende fællesskabsbestemmelser, i dette tilfælde direktiv 95/46 og 2002/58. Da Kommissionen var af den opfattelse, at fællesskabslovgiver havde kompetence til at fastlægge de kategorier af data, som skal opbevares, og opbevaringens varighed, forbeholdt Kommissionen sig ret til at fremsætte et direktivforslag.
32. Den 21. september 2005 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets direktiv, som var baseret på artikel 95 EF, om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og ændring af direktiv 2002/58 (7).
33. Under sit møde den 1. og 2. december 2005 gik Rådet ind for at vedtage et direktiv med hjemmel i EF-traktaten frem for at fortsætte vedtagelsen af en rammeafgørelse.
34. Den 28. november 2005 godkendte Europa-Parlamentets udvalg for »Borgerlige frihedsrettigheder, Retfærdighed og Indre Anliggender« en rapport vedrørende direktivforslaget (8). Den 14. december 2005 afgav Parlamentet en udtalelse i overensstemmelse med proceduren om fælles beslutningstagning i henhold til artikel 251 EF (9).
35. I sit møde den 21. februar 2006 vedtog Rådet direktiv 2006/24 med kvalificeret flertal. Irland og Den Slovakiske Republik stemte imod.
III – Parternes påstande
36. Irland har nedlagt følgende påstande:
– Direktiv 2006/24 annulleres med den begrundelse, at direktivet ikke er vedtaget på grundlag af en korrekt hjemmel.
– Rådet og Europa-Parlamentet tilpligtes at betale sagens omkostninger.
37. Europa-Parlamentet har nedlagt følgende påstande:
– Frifindelse.
– Sagsøgeren tilpligtes at betale alle omkostninger i sagen.
– Subsidiært fastslås det, at retsvirkningerne af det anfægtede direktiv opretholdes, indtil en ny retsakt træder i kraft.
38. Rådet har nedlagt følgende påstande:
– Frifindelse for Irlands påstand om annullation af direktiv 2006/24.
– Irland tilpligtes at betale sagens omkostninger.
IV – Retsforhandlinger ved Domstolen
39. Ved kendelser af 1. februar 2007 har Domstolens præsident givet Den Slovakiske Republik tilladelse til at intervenere i sagen til støtte for sagsøgerens påstande og givet Kongeriget Spanien, Kongeriget Nederlandene, Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse tilladelse til at intervenere i sagen til støtte for de sagsøgte parters påstande.
V – Parternes hovedpåstande
40. Irland har gjort gældende, at valget af artikel 95 EF som hjemmel for direktiv 2006/24 er fejlagtig. Efter denne medlemsstats opfattelse indeholder hverken artikel 95 EF eller nogen af de øvrige bestemmelser i EF-traktaten fornøden hjemmel for direktivet.
41. Irland har i det væsentlige gjort gældende, at de eneste – eller subsidiært væsentligste eller afgørende – formål med direktiv 2006/24 er at lette efterforskning, opklaring og forfølgning af alvorlige strafbare handlinger, herunder terrorisme. Efter Irlands opfattelse indeholder derfor kun EU-traktatens afsnit VI, navnlig artikel 30 EU, artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU, gyldig hjemmel til foranstaltningerne i direktivet.
42. Efter sagsøgerens opfattelse viser en gennemgang af betragtningerne (navnlig betragtning 7-11 og 21) og de grundlæggende bestemmelser (navnlig artikel 1, stk. 1) i direktiv 2006/24, at det er fejlagtigt at anvende artikel 95 EF som hjemmel for direktivet. Dette vedrører nemlig klart bekæmpelsen af alvorlig kriminalitet.
43. Ifølge Irland er det ubestridt, at tyngdepunktet for de foranstaltninger, som baseres på artikel 95 EF, skal være at harmonisere de nationale lovgivninger for at forbedre det indre markeds funktion. Bestemmelserne i direktiv 2006/24 vedrører bekæmpelsen af alvorlige strafbare handlinger og har ikke til formål at udbedre eventuelle mangler i det indre markeds funktion.
44. Subsidiært anfører Irland, at selv om Domstolen, i modsætning til, hvad Irland gør gældende, måtte antage, at direktiv 2006/24 bl.a. har til formål at forebygge konkurrencefordrejninger eller hindringer i det indre marked, må dette formål anses for helt sekundært i forhold til direktivets væsentligste eller afgørende formål, som er at bekæmpe kriminalitet.
45. Efter denne medlemsstats opfattelse har fællesskabslovgiver ikke kompetence til at anvende et ændringsdirektiv, som vedtages på grundlag af artikel 95 EF, til at inkorporere bestemmelser, som ikke er omfattet af Fællesskabets kompetence i medfør af den første søjle. Forpligtelser til sikring af, at der er adgang til data med henblik på efterforskning, opklaring og forfølgning af alvorlige strafbare handlinger, henhører under et område, for hvilket det kun er muligt at vedtage en retsakt på basis af EU-traktatens afsnit VI. Vedtagelsen af en sådan retsakt berører derfor ikke bestemmelserne i direktiv 2002/58 i den forstand, hvori dette udtryk er anvendt i artikel 47 EU.
46. Endvidere gør Irland gældende, at aktiviteter, der ikke er omfattet af EF-traktaten, aktiviteter vedrørende den offentlige sikkerhed, statens forsvar og sikkerhed samt statens aktiviteter på det strafferetlige område i medfør af artikel 3, stk. 2, første led, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58 er udelukket fra direktivernes anvendelsesområde. Direktiv 2006/24 indeholder ingen tilsvarende bestemmelse, som udelukker de nævnte aktiviteter fra dets anvendelsesområde. Tværtimod er de områder, som er udelukket fra direktiv 96/46’s og direktiv 2002/58’s anvendelsesområde, omfattet af direktiv 2006/24’s anvendelsesområde, således som det klart fremgår af bestemmelserne i sidstnævnte direktivs artikel 1, stk. 1. Da de områder, der udtrykkelig er udelukket fra de tidligere direktiver, er omfattet af direktiv 2006/24, er der grundlag for at anfægte valget af artikel 95 EF som hjemmel for dette direktiv, selv om det ikke også er tilfældet med direktiv 95/46 og 2002/58.
47. Det er ikke ifølge Irland nogen afgørende omstændighed, at direktiv 2006/24 ikke indeholder nogen bestemmelser vedrørende adgang til data med henblik på efterforskning, opklaring og forfølgning af grov kriminalitet, og forhindrer ikke, at Domstolen følger samme ræsonnement som i dommen i sagen Parlamentet mod Rådet og Kommissionen.
48. Vedrørende Parlamentets krav om, at retsvirkningerne af en eventuel annullationsdom tidsbegrænses, gør Irland gældende dels, at der ikke er nogen risiko for, at en annullation medfører alvorlige økonomiske virkninger, dels at retssikkerhedsprincippet ikke gør det nødvendigt, at bestemmelserne i direktiv 2006/24 opretholdes på trods af direktivets ugyldighed. Af denne grund er Irland af den opfattelse, at såfremt Domstolen annullerer direktivet, bør den ikke begrænse de tidsmæssige virkninger heraf.
49. Den Slovakiske Republik støtter Irlands opfattelse. Den finder, at artikel 95 EF ikke kan anvendes som hjemmel for direktiv 2006/24, da direktivets hovedformål ikke er at fjerne hindringer og konkurrenceforvridninger på det indre marked. Direktivet harmoniserer bestemmelserne om lagring af personoplysninger i længere tid end det er økonomisk begrundet for at lette statens foranstaltninger på det strafferetlige område. Af denne grund kan direktivet ikke vedtages inden for rammerne af Fællesskabets beføjelser, uanset om det er fastsat i retsakten, at de omhandlede data skal overføres eller på anden måde behandles af de retshåndhævende myndigheder.
50. Ifølge Den Slovakiske Republik indebærer lagring af personoplysninger i det omfang, som kræves efter direktiv 2006/24, en væsentlig indblanding i den ret til respekt for sit privatliv, som tilkommer enhver ifølge menneskerettighedskonventionens artikel 8. Det er tvivlsomt, om en så væsentlig indblanding kan begrundes i økonomiske hensyn, i den foreliggende sag hensynet til, at det indre marked fungerer bedre. Det vil være en mere hensigtsmæssig løsning at vedtage en retsakt, som ligger uden for Fællesskabets kompetence, og hvis hovedformål – og ikke skjulte formål – er at bekæmpe kriminalitet og terrorisme og vil give en mere adækvat begrundelse for indgrebet i retten til respekt for privatlivet.
51. Den Slovakiske Republik er i modsætning til Irland af den opfattelse, at det vil være hensigtsmæssigt, såfremt Domstolen annullerer direktiv 2006/24, at den suspenderer dommens virkninger, indtil der er vedtaget en ny retsakt.
52. Parlamentet har gjort gældende, at Irlands søgsmål er baseret på en fejlagtig vurdering af direktiv 2006/24’s formål og indhold og af den respektive kompetence, der er tillagt Det Europæiske Fællesskab inden for rammerne af første søjle og Den Europæiske Union inden for rammerne af tredje søjle, dvs. EU-traktatens afsnit VI.
53. Ifølge Parlamentet anlægger Irland en selektiv fortolkning af bestemmelserne i direktiv 2006/24. Det fremgår af direktivets betragtning 5 og 6, at dets væsentligste eller overordnede formål er at ophæve hindringerne for det indre marked for elektronisk kommunikation, og bekræftes af betragtning 25, at adgangen til og anvendelsen af lagret data ikke er omfattet af Fællesskabets kompetence.
54. Artikel 3, stk. 1, i direktiv 2006/24 fraviger artikel 5, 6 og 9 i direktiv 2002/58 og pålægger udbydere af elektroniske kommunikationstjenester at lagre de data, som de tidligere var forpligtet til at slette. En sådan ændring af de gældende forpligtelser må nødvendigvis vedtages på grundlag af de beføjelser, der henhører under første søjle, da det ville være i strid med artikel 47 EU at anvende en retsakt fra tredje søjle. Parlamentet anfører endvidere, at de væsentligste bestemmelser i direktiv 2006/24, dvs. artikel 5-8, uomtvisteligt tilsigter en harmonisering af de betingelser, der gælder for lagrede data.
55. Parlamentet henviser til, at visse medlemsstater efter terroristangrebene på De Forenede Stater den 11. september 2001 og de senere attentater i Madrid og London vedtog eller påbegyndte vedtagelsen af regler om lagring af data, som adskiller sig væsentligt fra de hidtil gældende. Sådanne forskelle kunne hindre den frie bevægelighed for personoplysninger mellem medlemsstaterne og dermed for præstationen af tjenesteydelser inden for elektronisk kommunikation.
56. Lagringen af data udgør et væsentligt element i de pågældende tjenesteudbyderes omkostninger, og forskellige regler på området kan fordreje konkurrencen i det indre marked. Hovedformålet med direktiv 2006/24 er at harmonisere de forpligtelser, som medlemsstaterne pålægger udbydere af elektronisk kommunikation hvad angår datalagringen. Af denne grund udgør artikel 95 EF den korrekte hjemmel. Selv om bekæmpelsen af kriminalitet har væsentlig betydning, er det ikke udelukket at basere direktivet på artikel 95 EF, og uanset at bekæmpelsen af kriminalitet utvivlsomt har påvirket udformningen af direktiv 2006/24, gør denne omstændighed ikke valget af artikel 95 EF som hjemmel direktivet ugyldigt.
57. Endvidere anfører Parlamentet, at direktiv 2006/24 ikke indeholder nogen bestemmelser, som direkte vedrører adgangen til lagret data, eller som medfører, at der gives adgang hertil eller tilladelse til behandling heraf i kriminalitetsbekæmpende øjemed, i modsætning til, hvad der var tilfældet i sagen Parlamentet mod Rådet og Kommissionen, hvori der var blevet videregivet oplysninger til en retshåndhævende myndighed i et tredjeland. Desuden indeholder direktivet ikke nogen bestemmelser om samarbejde mellem retshåndhævende myndigheder i den i artikel 30 EU omhandlede forstand eller om samarbejde mellem judicielle myndigheder i den i artikel 31 EU omhandlede forstand. Direktivet indeholder således ingen bestemmelser om »statens aktiviteter på det strafferetlige område« i den forstand, hvori dette udtryk er anvendt i direktiv 2002/58 i medfør af dettes artikel 1, stk.3.
58. Selv om lagring af en privats personoplysninger i princippet kan udgøre et indgreb i menneskerettighedskonventionens artikel 8’s forstand, kan indgrebet ifølge samme artikel være begrundet i den offentlige sikkerhed og for at forebygge forbrydelser. Indgrebets begrundelse bør imidlertid holdes adskilt fra spørgsmålet om det korrekte valg af hjemmel i fællesskabsretten, som det ikke har nogen forbindelse med.
59. Endelig anfører Parlamentet, at såfremt Domstolen annullerer direktiv 2006/24, bør direktivets virkninger opretholdes i medfør af artikel 231 EF, indtil der er vedtaget en ny retsakt. Selv om den sagsøgende medlemsstat påstår direktivet annulleret med den begrundelse, at dets hjemmel ikke er korrekt, bestrider den ikke direktivets indhold. Af hensyn til retssikkerheden og beskyttelsen af berørte personers interesser er det berettiget at opretholde direktivets virkninger.
60. Rådet har gjort gældende, at der hos de nationale retshåndhævende myndigheder var en stigende bekymring i årene efter vedtagelsen af direktiv 2002/58 for, at nyskabelser på området for elektronisk kommunikation kunne udnyttes til begåelse af kriminalitet. Disse stigende bekymringer fik medlemsstaterne til at vedtage foranstaltninger med henblik på at hindre sletning af data vedrørende elektronisk kommunikation og med henblik på at sikre, at de kan stilles til rådighed for de retshåndhævende myndigheder. Disse foranstaltninger var imidlertid forskellige og begyndte at virke forstyrrende for det indre markeds gnidningsløse funktion. Dette angives udtrykkeligt i femte og sjette betragtning til direktiv 2006/24. Det var denne situation, som foranledigede fællesskabslovgiver til at fastsætte præcise og harmoniserede betingelser for tjenesteudbydere med hensyn til, om personoplysninger i henhold til direktivets artikel 5 skulle slettes eller ej, og dermed sikre, at der af hensyn til et ensartet indre marked gjaldt fælles regler i Fællesskabet.
61. Rådet gør endvidere gældende, at selv om nødvendigheden af at bekæmpe kriminalitet, herunder terrorisme, har været en afgørende faktor i beslutningen om at ændre rækkevidden af rettighederne og forpligtelserne i henhold til artikel 5, 6 og 9 i direktiv 2002/58, er denne omstændighed ikke til hinder for, at direktiv 2006/24 måtte vedtages på grundlag af artikel 95 EF. Hverken artikel 30 EU, 31 EU og 34 EU eller nogen andre artikler i EU-traktaten kan danne hjemmel for en retsakt, som ændrer de forpligtelser, der påhviler tjenesteudbydere i henhold til direktiv 2002/58, da artikel 47 EU i modsat fald ville blive tilsidesat.
62. Ud over de krav, som følger af artikel 47 EU, bestrider Rådet, at det er muligt at udstede en retsakt vedrørende det område, der er reguleret af direktiv 2006/24, som skal vedtages i henhold til EU-traktatens afsnit VI, da ingen af direktivets bestemmelser vedrører samarbejdet mellem bl.a. politimyndighederne, toldmyndighederne og de judicielle myndigheder eller en tilnærmelse af medlemsstaternes strafferetlige regler.
63. Rådet tilføjer, at de rettigheder, som beskyttes ved menneskerettighedskonventionens artikel 8, ikke ar absolutte, men kan begrænses i overensstemmelse med de betingelser, som er fastsat i denne artikels stk. 2. Den lagring af data, som er foreskrevet i direktiv 2006/24, tjener en lovlig offentlig interesse, som er anerkendt efter menneskerettighedskonventionens artikel 8, stk. 2, og udgør et passende middel til at beskytte denne interesse.
64. Kongeriget Spanien og Kongeriget Nederlandene støtter Parlamentet og Rådet, deres argumenter svarer i det væsentlige til dem, som er gjort gældende af de sagsøgte parter.
65. Kommissionen minder om, at flere medlemsstater inden vedtagelsen af direktiv 2006/24 havde truffet nationale foranstaltninger vedrørende lagring af data i medfør af artikel 15, stk. 1, i direktiv 2002/58. Kommissionen fremhæver de væsentlige forskelle, som fandtes mellem disse foranstaltninger. F.eks. var der en forskel i perioden for lagring af data på mellem tre måneder i Nederlandene og fire år i Irland. Forpligtelserne vedrørende lagring af data har væsentlige økonomiske virkninger for tjenesteudbyderne. En forskel i forpligtelserne kan medføre væsentlige konkurrencefordrejninger. På denne baggrund var det efter Kommissionens opfattelse lovligt at vedtage direktiv 2006/24 på grundlag af artikel 95 EF.
66. Dette direktiv begrænser forpligtelserne i henhold til direktiv 2002/58 ved at harmonisere dem på fællesskabsniveau. Da direktiv 2002/58 er baseret på artikel 95 EF, bør direktiv 2006/24, som ændrer dette direktiv, baseres på samme artikel i EF-traktaten.
67. Efter Kommissionens opfattelse må direktiv 2006/24, i modsætning til, hvad Irland har gjort gældende, opfattes som en retsakt til beskyttelse af data, der indgår i den ordning for regulering af dette område, som er indført ved direktiv 95/46 og 2002/58. Hvad angår beskyttelsen af data er det navnlig vigtigt at sondre mellem de behandlinger, der ikke er omfattet af fællesskabsrettens anvendelsesområde på grund af en undtagelsebestemmelse, og dem, som er omfattet af fællesskabsretten, men for hvilke der i medfør af en indskrænkende bestemmelse kan fastsættes visse begrænsninger, såfremt disse er berettigede og står i rimeligt forhold til tilstræbte formål.
68. Ganske vist er bl.a. statens aktiviteter på det strafferetlige område ifølge artikel 3, stk. 2, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58 udelukket fra disse direktivers anvendelsesområde, men direktiv 2006/24 vedrører ikke statens aktiviteter som sådan, men den behandling af data, som tjenesteudbydere af telekommunikation foretager i kommercielt øjemed i forbindelse med præstation af tjenesteydelser på det offentlige elektroniske kommunikationsnet. Denne aktivitet er klart omfattet af fællesskabsrettens anvendelsesområde og navnlig direktiv 95/46 og 2002/58.
69. Selv om en medlemsstats adgang til at begrænse rettigheder hvad angår beskyttelse af data med henblik på efterforskning, opklaring og forfølgning af grov kriminalitet faktisk var et spørgsmål, som ikke er omfattet af fællesskabsrettens anvendelsesområde, ville artikel 13, stk.1, i direktiv 95/46 og artikel 15, stk. 1, i direktiv 2002/58 være overflødig og dermed uden virkning i forhold til artikel 3, stk. 2, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58.
70. Endelig gør Kommissionen gældende, at efterforskning, opklaring og forfølgning af grov kriminalitet, som er nævnt i artikel 1, stk. 1, i direktiv 2006/24, er omfattet af fællesskabsretten, da den angiver det lovlige formål med de begrænsninger i personers rettigheder hvad angår beskyttelsen af deres personoplysninger, som direktivet fastsætter. En sådan angivelse er nødvendig såvel for at opfylde kravene i direktiv 95/46 og 2002/58 som for at overholde menneskerettighedskonventionens artikel 8.
71. De argumenter, som er gjort gældende af Den Europæiske Tilsynsførende for Databeskyttelse, vedrører i det væsentlige den virkning, som valget af hjemmel har for Fællesskabets ordning for beskyttelse af personoplysninger. Hvis EF-traktaten ikke kunne anvendes som hjemmel for direktiv 2006/24, ville fællesskabsrettens bestemmelser om beskyttelse af data ikke efter dennes opfattelse beskytte borgerne i det tilfælde, hvor behandlingen af deres personoplysninger letter forebyggelsen og bekæmpelsen af kriminalitet. I så fald ville den almindelige ordning i fællesskabsretten for beskyttelse af data, der navnlig fremgår af direktiv 95/46 og 2002/58, finde anvendelse på behandling af data i kommercielt øjemed, men ikke behandling af de samme data i et kriminalitetsbekæmpende øjemed. Dette ville medføre vanskelige sondringer for tjenesteudbyderne og en forringelse af beskyttelsesniveauet for den berørte person. En sådan situation bør undgås. Dette behov for sammenhæng nødvendiggør, at direktiv 2006/24 vedtages i medfør af EF-traktaten.
VI – Stillingtagen
72. For at kunne drage grænsen mellem de områder, som henhører under fællesskabslovgiver, og dem, som henhører under lovgiver for Den Europæiske Union, i tvister om valg af hjemmel har Domstolen præciseret rækkevidden af artikel 47 EU, som er nøglebestemmelsen hvad angår det område, som henhører under fællesskabsretten, og det område, som falder ind under Den Europæiske Union.
73. Jeg skal minde om, at ifølge bestemmelsen i artikel 47 EU er der intet i EU-traktaten, der berører EF-traktatens bestemmelser. Det samme krav stilles i artikel 29, stk. 1, EU, som er den indledende bestemmelse i EU-traktatens afsnit VI, vedrørende politisamarbejde og retligt samarbejde i kriminalsager.
74. Da Domstolen skal garantere, at der sker en klar afgrænsning mellem de områder, som henhører under EF-traktaten og EU-traktaten i overensstemmelse med reglen i artikel 47 EU, påhviler det den at påse, at de retsakter, som ifølge en af parterne henhører under EU-traktatens afsnit V eller VI, ikke griber ind i de beføjelser, som er tildelt Fællesskabet ved EF-traktaten (10).
75. I den forbindelse må det antages, at de beføjelser, som tilkommer Fællesskabet i medfør af EF-traktaten, må anses for berørt i artikel 47 EU’s forstand, såfremt de bestemmelser i en retsakt, der er vedtaget på grundlag af EU-traktaten, havde kunnet vedtages med hjemmel i en artikel i EF-traktaten (11). Ifølge Domstolen har artikel 47 EU således til formål i overensstemmelse med artikel 2, femte led, EU og artikel 3, stk. 1, EU at opretholde og udbygge den gældende fællesskabsret (12).
76. Hvad angår metoden til afgørelse af, om en retsakt, der er vedtaget på grundlag af EU-traktaten, kunne være vedtaget på grundlag af EF-traktaten, undersøger Domstolen, om retsakten på grund af sit formål og indhold som overordnet mål har til formål at gennemføre en politik, der er tillagt Fællesskabet ved EF-traktaten (13). Hermed anvender Domstolen sin faste praksis, hvorefter valg af hjemmelen for en fællesskabsretsakt skal foretages på grundlag af objektive forhold, som gør det muligt at foretage en domstolskontrol, herunder navnlig retsaktens formål og indhold (14).
77. I denne sag er der ganske vist ikke tale om at afgøre, om en retsakt, der er vedtaget på grundlag af EU-traktaten, kunne være vedtaget på grundlag af EF-traktaten, men om at undersøge, om en retsakt med føje er vedtaget på grundlag af EF-traktaten og ikke på grundlag af EU-traktaten, således som sagsøgeren gør gældende, at den burde være. Det er dog den samme metode, der skal anvendes. Metoden består i at undersøge, om det i betragtning af retsaktens tyngdepunkt havde været lovligt efter artikel 47 EU at vedtage den på grundlag af EU-traktaten.
78. Problemet i denne sag er derfor at afgøre, om den opfattelse, som forfægtes af Irland, og som går ud på, at direktiv 2006/24 burde være vedtaget på grundlag af artikel 30 EU, artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU, er forenelig med bestemmelsen i artikel 47 EU. Med andre ord er spørgsmålet, om det ville have været i strid med artikel 47 EU at vedtage dette direktivs bestemmelser på grundlag af EU-traktaten. For at besvare dette spørgsmål må det først undersøges, om direktiv 2006/24 efter sit formål og indhold er omfattet af artikel 95 EF’s anvendelsesområde.
79. Hvad angår anvendelsen af artikel 95 EF som hjemmel for en fællesskabsretsakt fremgår det af Domstolens praksis, at den omstændighed alene, at der er forskel mellem de nationale lovgivninger, ikke kan begrunde anvendelsen af denne artikel som hjemmel, men at det kræves, at forskellene mellem medlemsstaternes love og administrative bestemmelser kan medføre hindringer for de grundlæggende friheder og dermed have en direkte virkning på det indre markeds funktion (15). Det fremgår endvidere af Domstolens faste praksis, at selv om det er muligt at anvende artikel 95 EF som hjemmel for at undgå, at der opstår fremtidige hindringer for samhandelen, der skyldes en uensartet udvikling i de nationale lovgivninger, skal det dog være sandsynligt, at der vil opstå sådanne hindringer, og den pågældende foranstaltning skal have til formål at forebygge dem (16). Det, der er afgørende for, om det er berettiget at anvende artikel 95 EF som hjemmel, er, om den retsakt, som er vedtaget på grundlag af denne bestemmelse, faktisk har til formål at skabe bedre vilkår for det indre markeds oprettelse og funktion (17).
80. Så vidt jeg kan se opfylder vedtagelsen af direktiv 2006/24 med hjemmel i artikel 95 EF de af Domstolen fastsatte krav.
81. Det fremgår nemlig udtrykkeligt af direktivets fjerde til sjette betragtning, at fællesskabslovgiver har baseret sig på konstateringen af, at der var retlige og tekniske forskelle mellem de nationale bestemmelser om tjenesteudbyderes lagring af data. Flere medlemsstater havde nemlig i medfør af deres beføjelse efter artikel 15, stk. 1, i direktiv 2002/58 vedtaget lovgivning om tjenesteudbyderes lagring af data med henblik på forebyggelse, efterforskning, opklaring og retsforfølgning af strafbare handlinger. Der var imidlertid væsentlige forskelle mellem disse nationale lovbestemmelser navnlig hvad angår varigheden af den nødvendige lagring og de typer data, som skal lagres (18).
82. På grund af disse forskelle kunne det altså være nødvendigt at harmonisere retsforskrifterne vedrørende de forpligtelser hvad angår lagring af data, der gælder for udbydere af offentligt tilgængelig elektronisk kommunikation eller elektroniske kommunikationsnet.
83. Det må imidlertid undersøges, om disse forskelle kunne påvirke det indre markeds oprettelse og funktion, således at fællesskabslovgiver var berettiget til at anvende artikel 95 EF som hjemmel for vedtagelsen af foranstaltningerne i direktiv 2006/24.
84. Det er i den forbindelse vigtigt at fremhæve, at det er forbundet med en væsentlig økonomisk byrde for udbydere af elektronisk kommunikation at lagre data, og at denne økonomiske byrde afhænger af antallet og varigheden af de data, der skal lagres (19). Udgifterne hertil skyldes ikke blot den udbygning af teknologien, som er nødvendig for at foretage en sikker lagring og arkivering af de pågældende data, men også vedligeholdelsen og driften af systemerne til datalagringen.
85. Så længe lovgivningen ikke er harmoniseret, er udgifterne til datalagring for en udbyder af elektronisk kommunikation forskellige afhængig af, i hvilken medlemsstat tjenesteyderen ønsker at operere. Sådanne forskelle kan udgøre hindringer for den frie udveksling af elektroniske kommunikationstjenester mellem medlemsstaterne og dermed skabe hindringer for oprettelsen af det indre marked for elektronisk kommunikation og dettes funktion. Sådanne hindringer kan navnlig bremse den grænseoverskridende udvikling af de nye elektroniske kommunikationstjenester, der jævnligt kommer frem på markedet i informationssamfundet. De kan også medføre konkurrencefordrejninger mellem virksomheder, der opererer på markedet for elektronisk kommunikation.
86. Som det klart fremgår af sjette betragtning til direktiv 2006/24, udgør sådanne forskelle mellem medlemsstaternes lovgivning »en hindring for det indre marked for elektronisk kommunikation, idet tjenesteudbyderne skal opfylde forskellige krav for så vidt angår de typer trafikdata og lokaliseringsdata, der skal lagres, og for så vidt angår betingelserne for lagring og lagringsperioden«.
87. Efter min opfattelse fremmer direktiv 2006/24 udviklingen af det indre marked for elektronisk kommunikation ved en harmonisering af de nationale lovbestemmelser om pligt til at lagre data (artikel 3), de kategorier af data, der skal lagres (artikel 5), lagringsperioderne (artikel 6) samt databeskyttelse og datasikkerhed (artikel 7), idet direktivet fastsætter ensartede forpligtelser for tjenesteudbyderne.
88. Også bestemmelsen i artikel 12, stk. 2, i direktiv 2006/24 tager hensyn til den virkning, som forskelle i de nationale lovbestemmelser om datalagring har for det indre markeds funktion. Efter denne bestemmelse skal Kommissionen nemlig ved vurderingen af nationale foranstaltninger med henblik på en forlængelse i et begrænset tidsrum af den maksimale lagringsperiode i en situation, hvor der foreligger særlige omstændigheder, forvisse sig om, at foranstaltningerne ikke udgør et middel til vilkårlig forskelsbehandling eller en skjult begrænsning af samhandelen mellem medlemsstaterne, og om, at de ikke udgør en hindring for det indre markeds funktion.
89. I betragtning af disse omstændigheder finder jeg, at fællesskabslovgiver var berettiget til at anvende artikel 95 EF som hjemmel.
90. Irland er imidlertid af den opfattelse, og støttes på dette punkt af Den Slovakiske Republik, at direktiv 2006/24 ikke kan baseres på artikel 95 EF, da direktivets vigtigste bestemmelser ikke vedrører det indre markeds oprettelse og funktion. Efter Irlands opfattelse har dette direktiv alene til formål eller har i hvert fald som det væsentligste formål at fremme efterforskning, opklaring og retsforfølgning af alvorlig kriminalitet. Irland støtter denne argumentation på flere bestemmelser i direktivet, som rent faktisk vedrører dette formål.
91. Jeg skal blandt disse bestemmelser citere betragtning 11 til direktiv 2006/24, som indeholder følgende udtalelse: »Det er i undersøgelser blevet påvist, og medlemsstaterne har praktisk erfaring for, at trafikdata og lokaliseringsdata har stor betydning i efterforskning, afsløring og retsforfølgning af strafbare handlinger, og det er derfor nødvendigt på europæisk plan at sikre, at data, som genereres eller behandles af udbydere af elektronisk kommunikation, når de tilbyder offentlige elektroniske kommunikationstjenester eller offentlige kommunikationsnet, lagres i en vis periode på de i dette direktiv fastsatte betingelser.« Ifølge artikel 1, stk. 1, er direktivets formål »at harmonisere medlemsstaternes bestemmelser om de pligter, der er pålagt udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet, for så vidt angår lagring af visse data, der genereres eller behandles af dem, med henblik på at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning«.
92. Det er ubestridt under denne sag og kan efter min opfattelse heller ikke bestrides, at begrundelsen for den pligt til at lagre data, som pålægges udbydere af elektronisk kommunikation, er, at den fremmer efterforskning, opklaring og retsforfølgning af alvorlig kriminalitet. Det kan heller ikke benægtes, at grunden til, at fællesskabslovgiver har ønsket at fastsætte en generel forpligtelse til at lagre trafikdata og lokaliseringsdata, der genereres eller behandles af udbydere af elektronisk kommunikation eller elektroniske kommunikationsnet, er, at lagringen af data udgør et effektivt middel til efterforskning i de undersøgelser, som iværksættes af medlemsstaternes retshåndhævende myndigheder, navnlig i sager om organiseret kriminalitet og terrorisme.
93. Fællesskabslovgiver har således ønsket at tage yderligere et skridt i forhold til de foranstaltninger, som er fastsat i artikel 15, stk. 1, i direktiv 2002/58. Jeg skal minde om, at medlemsstaterne efter denne bestemmelse har mulighed for at »vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF; [m]ed henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke«. Fællesskabslovgiver har med vedtagelsen af direktiv 2006/24 ønsket at gå videre dels ved at ændre den nævnte beføjelse for medlemsstaterne til en forpligtelse til at udstede forskrifter om lagring af data, dels ved at harmonisere de kategorier af data, som skal lagres, samt varigheden herfor.
94. Blandt de hensyn, som er nævnt i artikel 15, stk. 1, i direktiv 2002/58, har fællesskabslovgiver kun henvist til formålet om efterforskning, afsløring og retsforfølgning af alvorlig kriminalitet og har herved angivet det lovlige formål med de indskrænkninger, som direktiv 2006/24 medfører for personers rettigheder hvad angår beskyttelsen af deres personoplysninger. En af særegenhederne ved dette direktiv er nemlig, at det skal ses i sammenhæng med det system for beskyttelse af personoplysninger, som er gradvist indført af fællesskabslovgiver. Da dette direktiv indeholder en undtagelse fra visse af de beskyttelsesforanstaltninger, der er fastsat i direktiv 2002/58, var det absolut nødvendigt, at lovgiver nævnte dette almene hensyn for at godtgøre, at det i overensstemmelse med betingelserne i menneskerettighedskonventionens artikel 8 var nødvendigt at vedtage en retsakt om lagring af data.
95. Spørgsmålet er imidlertid, om angivelsen af dette hensyn, der begrunder indgreb i den ret til respekt for privatlivet, som er beskyttet ved menneskerettighedskonventionens artikel 8, og om udsagnet om, at lagring af data udgør et effektivt middel i strafforfølgende øjemed med henblik på efterforskning, afsløring og retsforfølgning af alvorlig kriminalitet, er uforenelig med, at artikel 95 EF anvendes som hjemmel til en retsakt som direktiv 2006/24.
96. Af de nedenfor angivne grunde mener jeg ikke, at dette er tilfældet.
97. For det første har Domstolen har allerede tidligere fastslået, når betingelserne for anvendelse af artikel 95 EF som hjemmel er opfyldt, at fællesskabslovgiver ikke er forhindret i at anvende denne hjemmel, selv om beskyttelsen af folkesundheden er afgørende for lovgivers valg (20). Det må i den forbindelse ikke overses, at det er et udtrykkeligt krav efter artikel 95, stk. 3, EF, at der ved de gennemførte harmoniseringsforanstaltninger iagttages visse tvingende almene hensyn og herved sikres et højt beskyttelsesniveau (21). Blandt disse almene hensyn er jo hensynet til sikkerhed. Efter min opfattelse bidrager en retsakt som direktiv 2006/24, der harmoniserer betingelserne for lagring af visse data med henblik på efterforskning, afsløring og retsforfølgning af alvorlig kriminalitet, til opfyldelsen af dette krav om et højt sikkerhedsniveau inden for det indre marked. Efter mit skøn indeholder artikel 95, stk. 3, EF derfor hjemmel til foranstaltninger om tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion, og der samtidig forfølger et generelt formål, såsom sikringen af et højt sikkerhedsniveau inden for Fællesskabet.
98. Endvidere er det min opfattelse i modsætning til den, som Irland har gjort gældende, at den omstændighed alene, at en retsakt forfølger et formål, såsom efterforskning, afsløring og retsforfølgning af alvorlig kriminalitet, ikke er tilstrækkelig til, at retsakten omfattes af tredje søjle i stedet for første søjle. Med andre ord er dette formål ikke efter min opfattelse tilstrækkeligt til, at retsakten omfattes af området for »politisamarbejde og retligt samarbejde i kriminalsager« i den forstand, hvori dette udtryk er anvendt i EU-traktatens afsnit VI.
99. Det fremgår af artikel 29 EU, at Den Europæiske Union har til formål – uden at det berører Det Europæiske Fællesskabs beføjelser – at give borgerne et højt tryghedsniveau i et område med frihed, sikkerhed og retfærdighed bl.a. gennem forebyggelse og bekæmpelse af kriminalitet ved anvendelse af tre forskellige former for foranstaltninger. For det første et tættere samarbejde mellem medlemsstaternes politi, toldmyndigheder og andre kompetente myndigheder, både direkte og gennem Den Europæiske Politienhed (Europol), i overensstemmelse med artikel 30 EU og 32 EU. For det andet et tættere samarbejde mellem medlemsstaternes retlige og andre kompetente myndigheder i overensstemmelse med artikel 31 EU og 32 EU, herunder inden for rammerne af Den Europæiske Union for Retligt Samarbejde (Eurojust). Og endelig for det tredje, om nødvendigt, en indbyrdes tilnærmelse af medlemsstaternes strafferetlige regler i overensstemmelse med artikel 31, litra e), EU.
100. Forpligtelsen til lagring af data, som er genereret eller behandlet i forbindelse med præstation af kommunikationstjenester, er ikke efter min opfattelse omfattet af nogen af disse tre typer af foranstaltninger. Den opfylder derfor ikke selve betingelserne for at være omfattet af anvendelsesområdet for EU-traktatens afsnit VI.
101. Ganske vist har formålet med efterforskning, opklaring og retsforfølgning af alvorlig kriminalitet et strafferetligt element, som gør, at alle retsakter med dette formål henføres til tredje søjle. En konsekvent gennemførelse heraf vil imidlertid medføre en umådeholden udvidelse af anvendelsesområdet for EU-traktatens afsnit VI, der som tidligere angivet ikke kan resumeres i et bestemt formål, men som opregner de typer af foranstaltninger, hvormed »politisamarbejde[t] og [det] retlig[e] samarbejde i kriminalsager«, således som dette samarbejde benævnes i dette afsnit, konkretiseres.
102. Jeg skal i den forbindelse fastslå, at de foranstaltninger, som er foreskrevet i direktiv 2006/24, ikke har nogen direkte indvirkning på medlemsstaternes retshåndhævende myndigheder. Det er blot fastsat, at tjenesteudbydere af elektronisk kommunikation, som er offentlig tilgængelig, eller af et elektronisk kommunikationsnet, skal lagre de data, som genereres eller behandles i forbindelse med præstationen af de pågældende kommunikationstjenester, dvs. kun dem, der står direkte i forbindelse med disse tjenesteudbyderes udøvelse af deres erhvervsmæssige virksomhed.
103. Kort sagt indeholder direktiv 2006/24 foranstaltninger, som iværksættes på et tidligere stadium end et eventuelt politisamarbejde og retligt samarbejde i kriminalsager. Direktivet harmoniserer hverken den adgang til data, som tilkommer de kompetente, nationale retshåndhævende myndigheder, eller adgangen for dem til at anvende og indbyrdes udveksle disse data, f.eks. under en strafferetlig efterforskning. Disse områder, som efter min opfattelse henhører under EU-traktatens afsnit VI, er med rette udelukket fra bestemmelserne i direktiv 2006/24 (22).
104. Det er i øvrigt udtrykkeligt angivet i betragtning 25 til dette direktiv, at det »finder anvendelse uanset medlemsstaternes beføjelser til at træffe lovgivningsmæssige foranstaltninger vedrørende retten til adgang til og anvendelse af data for de af dem udpegede nationale myndigheder; [s]pørgsmål om adgangen til de data, som de nationale offentlige myndigheder lagrer i henhold til dette direktiv, til aktiviteter, der er omhandlet i artikel 3, stk. 2, første led, i direktiv 95/46/EF falder uden for fællesskabslovgivningens rammer. De kan derimod være underlagt nationale love eller foranstaltninger i medfør af afsnit VI i traktaten om Den Europæiske Union(23)«. Det eneste krav vedrørende adgangen til data, som fællesskabslovgiver har villet fremhæve, og som mere har karakter af en advarsel end en harmoniseringsforanstaltning, er indeholdt i artikel 4 i direktiv 2006/24, hvorefter »medlemsstaterne træffer foranstaltninger til at sikre, at data, der lagres i overensstemmelse med dette direktiv, kun udleveres til de kompetente nationale myndigheder i særlige sager og i overensstemmelse med national lovgivning; [h]ver medlemsstat fastsætter i sin nationale lovgivning den procedure, der skal følges, og de betingelser, der skal være opfyldt for at få adgang til lagrede data i overensstemmelse med kravet om nødvendighed og proportionalitet, under hensyn til de relevante bestemmelser i EU-retten og folkeretten, herunder navnlig den europæiske menneskerettighedskonvention, således som den er fortolket af Den Europæiske Menneskerettighedsdomstol«.
105. Afgrænsningen mellem de foranstaltninger, som henhører under fællesskabssøjlen, og dem, som skal vedtages i medfør af EU-traktatens afsnit VI, kan derfor efter min opfattelse foretages på den måde, som jeg skal beskrive i det følgende.
106. Under fællesskabssøjlen henhører foranstaltninger, som harmoniserer de betingelser, hvorefter tjenesteudbydere af kommunikationsydelser skal lagre de data vedrørende trafik og lokalisering, som genereres eller behandles som led i udøvelsen af deres erhvervsmæssige virksomhed. En sådan harmonisering af nationale lovgivninger om lagring af data begrænser nemlig risikoen for, at der opstår hindringer for udviklingen af det indre marked for elektronisk kommunikation, da den fastsætter ensartede krav til operatørerne. Den omstændighed, at fællesskabslovgiver har anset det for nødvendigt at gøre det obligatorisk at lagre data på grund af dette middels effektivitet for forskning, afsløring og retsforfølgning af alvorlig kriminalitet, er ikke tilstrækkelig til, at en sådan foranstaltning falder uden for fællesskabssøjlen, da dette tvingende almene hensyn kan tilgodeses af en harmoniseringsforanstaltning vedtaget på grundlag på artikel 95 EF. Desuden er angivelsen af et sådant tvingende alment hensyn nødvendig som begrundelse for, at fællesskabslovgiver kan gribe ind i retten til respekten for privatlivet hos brugere af elektroniske kommunikationsydelser.
107. Derimod omfatter tredje søjle foranstaltninger om harmonisering af de betingelser, hvorefter de kompetente nationale retshåndhævende myndigheder kan få adgang til de lagrede data samt anvende og udveksle dem som led i udførelsen af deres opgaver. Sådanne myndigheders direkte indgreb over for private operatører og disses forpligtelse til at meddele data i et strafforfølgende øjemed er derfor efter min opfattelse omfattet af anvendelsesområdet for »politisamarbejde og retligt samarbejde i kriminalsager« i EU-traktatens afsnit VI’s forstand. På dette stadium antager de private operatørers medvirken i en strafforfølgende procedure og deres samarbejde med de kompetente nationale myndigheder nemlig en konkret og bestemt karakter.
108. Denne afgrænsning kan ganske vist kritiseres og kan i visse henseender synes kunstig. Jeg må erkende, at det ville være mere tilfredsstillende, at det overordnede problem om den lagring af data, der foretages af tjenesteudbydere af elektronisk kommunikation, og de nærmere regler for disses samarbejde med de kompetente nationale strafforfølgende myndigheder, blev behandlet i én retsakt, som sikrede sammenhængen mellem de to led. Selv om det er beklageligt, kræver opbygningen af traktaterne, som består af tre søjler, imidlertid, at virkeområderne holdes adskilt fra hinanden. Det vigtigste i denne sammenhæng er derfor at garantere retssikkerheden ved i videst mulig omfang at afklare grænsen mellem de virkeområder, som henhører under de forskellige søjler.
109. Jeg finder ikke, at denne analyse er i modstrid med, hvad Domstolen har fastslået i dommen i sagen Parlamentet mod Rådet og Kommissionen. Tværtimod giver den efter min opfattelse grundlag for at afklare den rækkevidde, som denne dom for mig at se må antages at have.
110. Jeg skal minde om, at Parlamentet i denne sag nedlagde påstand dels om annullation af Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til told- og grænsekontrolmyndigheden under det amerikanske ministerium for national sikkerhed (24), dels Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndigheder (25).
111. I dommen undersøgte Domstolen først lovligheden af beslutningen om tilstrækkelig beskyttelse på grundlag af artikel 3, stk. 2, første led, i direktiv 95/46. Jeg skal minde om, at ifølge denne bestemmelse er følgende behandling af personoplysninger undtaget fra direktivets anvendelsesområde: »som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område«.
112. Domstolen fandt, at overførsel af oplysninger, der er indeholdt i registre over flypassagerer (herefter »PNR-oplysninger«), til told- og grænsekontrolmyndigheden under det amerikanske ministerium for national sikkerhed (herefter »CBP«; customs and border protection) udgjorde en behandling, der vedrører den offentlige sikkerhed og statens aktiviteter på det strafferetlige område. Den fremhævede, at beslutningen om tilstrækkelig beskyttelse ikke vedrørte behandling af oplysninger, der er nødvendige for at levere en tjenesteydelse, men en behandling af oplysninger, som anses for nødvendig for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål. Endvidere bemærkede den, at det fremgår af dommen af 6. november 2003, Lindqvist (26), at de aktiviteter, der er nævnt som eksempler i direktivets artikel 3, stk. 2, første led, i direktiv 95/46, under alle omstændigheder henhører under statens eller statslige myndigheders aktiviteter og ikke har noget at gøre med området for den enkelte borgers aktiviteter, men at heraf ikke følger, at man kan udlede af den omstændighed, at PNR-oplysningerne er blevet indsamlet af private erhvervsdrivende til kommercielle formål, og at det er disse erhvervsdrivende, som forestår oplysningernes videregivelse til et tredjeland, at overførslen er udelukket fra denne bestemmelses anvendelsesområde. Domstolen fremhævede herved, at videregivelsen sker inden for rammer, der er indført af de statslige myndigheder, og som vedrører den offentlige sikkerhed.
113. Heraf sluttede Domstolen, at beslutningen om tilstrækkelig beskyttelse vedrører behandling af personoplysninger i den forstand, hvori dette udtryk er anvendt i artikel 3, stk. 2, første led, i direktiv 95/46, og at beslutningen derfor ikke var omfattet af dette direktivs anvendelsesområde. Heraf konkluderede Domstolen, at beslutningen om tilstrækkelig beskyttelse burde annulleres.
114. Hvad dernæst angår lovligheden af Rådets afgørelse udtalte Domstolen sig kun vedrørende anbringendet om, at artikel 95 EF fejlagtigt var valgt som hjemmel til denne afgørelse. Den fandt, at artikel 95 EF, sammenholdt med artikel 25 i direktiv 95/46, ikke gav Fællesskabet kompetence til indgå aftalen mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til told- og grænsekontrolmyndigheden under det amerikanske ministerium for national sikkerhed (herefter »aftalen«), som var godkendt på Fællesskabets vegne ved nævnte afgørelse (27). Til støtte for denne antagelse fremhævede Domstolen, at aftalen vedrørte samme videregivelse af oplysninger, som er omhandlet i beslutningen om tilstrækkelig beskyttelse, og dermed vedrørte behandling af oplysninger, der er udelukket fra direktivets anvendelsesområde. Følgelig fandt Domstolen, at Rådets afgørelse ikke kunne vedtages gyldigt med hjemmel i artikel 95 EF.
115. Irland støtter sig på dommen i sagen Parlamentet mod Rådet og Kommissionen til støtte for sin argumentation i denne sag, som i det væsentlige går ud på, at direktiv 2006/24 på grund af det eneste eller i hvert fald væsentligste formål, som forfølges med dette direktiv, og som består i efterforskning, opklaring og retsforfølgning af alvorlig kriminalitet, burde være vedtaget på grundlag af EU-traktatens afsnit VI. Baggrunden for denne dom var imidlertid hvad angår de væsentligste elementer forskellig fra den foreliggende sag.
116. I sagen Parlamentet mod Rådet og Kommissionen var hovedformålet med aftalen at kræve af de luftfartsselskaber, som udfører international passagertransport til eller fra Amerikas Forenede Stater, at de giver CBP elektronisk adgang til de PNR-oplysninger, som findes i selskabernes automatiske reservations- og afgangskontrolsystemer. Ved aftalen blev der således indført en form for internationalt samarbejde mellem de kontraherende parter, hvis formål var at bekæmpe terrorisme og anden alvorlig kriminalitet, men samtidig at forsøge at forene dette formål med formålet om beskyttelse af flypassagerers personoplysninger (28). Den omstændighed, at der er indført en sådan form for international samarbejde med en offentlig myndighed i et tredjeland, er allerede en væsentlig forskel i forhold til den foreliggende sag.
117. Det bør dernæst fremhæves, at den behandling af data, som var omhandlet i sagen Parlamentet mod Rådet og Kommissionen, vedrørte et senere stadium end luftfartsselskabernes førsteindsamling af data. Denne behandling angik CBP’s søgning efter og brug af passageroplysninger fra reservationssystemerne hos de luftfartsselskaber, der er etableret på medlemsstaternes område, og videregivelsen heraf til CBP (29). Der var altså tale om en form for samarbejde, der ikke blot implicerede private erhvervsdrivende, men også en offentlig myndighed, nemlig CBP, med henblik på bekæmpelse af terrorisme og andre alvorlige forbrydelser.
118. En retsakt, der giver en myndighed, som har til opgave at sikre en stats interne sikkerhed, ret til at søge og bruge personoplysninger, og som tillader, at disse oplysninger videregives til denne myndighed, må også efter min opfattelse ligestilles med en retsakt, der vedrører samarbejdet mellem offentlige myndigheder. Navnlig er der ikke i en situation, hvor det er obligatorisk at give oplysninger til et nationalt organ i sikkerhedsmæssigt og retshåndhævende øjemed ,nogen grundlæggende forskel på at pålægge en juridisk person at videregive sådanne oplysninger og direkte udveksle data mellem offentlige myndigheder, f.eks. under en efterforskning i kriminalsager (30).
119. Den internationale dimension ved det samarbejde, som er indført, og de nærmere regler for samarbejdet mellem luftfartsselskaberne og CBP – hvilke regler efter min opfattelse gør, at samarbejdet er omfattet af EU-traktatens afsnit VI – udgør således to afgørende forskelle i forhold til situationen i den foreliggende sag.
120. Det er i øvrigt netop på grund af de forhold, som jeg har angivet, at Rådets afgørelse 2007/551/FUSP/RIA af 23. juli 2007 om undertegnelse på Den Europæiske Unions vegne af en aftale mellem Den Europæiske Union og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af passagerliste (PNR)-oplysninger til United States Department of Homeland Security (DHS) (PNR-aftalen 2007) (31) er vedtaget på grundlag af artikel 24 EU og 38 EU.
121. De forskelle, som jeg har fremhævet, bidrager også til en bedre forståelse af rækkevidden af dommen i sagen Parlamentet mod Rådet og Kommissionen.
122. Efter min opfattelse kan denne dom ikke forstås på den måde, at kun en undersøgelse af det formål, der forfølges med behandling af personoplysninger, er relevant for, om en sådan behandling er omfattet af anvendelsesområdet for det system til beskyttelse af data, som er indført ved direktiv 95/46. Det må også undersøges, hvilken form for virksomhed behandlingen af data foretages inden for rammerne af. Kun såfremt denne behandling foretages med henblik på udøvelse af statens eller statslige myndigheders aktiviteter og ikke har noget at gøre med området for den enkelte borgers aktiviteter, er den udelukket fra det fællesskabssystem for beskyttelse af personoplysninger, som er indført ved direktiv 95/46, nemlig i medfør af dette direktivs artikel 3, stk. 2, første led. Det tilkommer da lovgiver for Den Europæiske Union at træde ind og etablere et generelt system for databeskyttelse, som skal dække den behandling af data, der sker som led i statens aktiviteter (32).
123. I dommen i sagen Parlamentet mod Rådet og Kommissionen fandt Domstolen, at luftfartsselskabernes overgivelse af data til CBP af hensyn til den offentlige sikkerhed og i et retshåndhævende øjemed måtte sidestilles med en behandling af data foretaget med henblik på udøvelse af statens eller statslige myndigheders aktiviteter, som ikke har noget at gøre med området for den enkelte borgers aktiviteter. Derfor fastslog Domstolen, at den var udelukket fra anvendelsesområdet for direktiv 95/46.
124. Forstået på denne måde er det på grundlag af denne dom muligt at erkende forskellen mellem de undtagelsesbestemmelser og de bestemmelser, der giver mulighed for at foretage indskrænkninger, som er indeholdt i direktiv 95/46 og 2002/58.
125. Som Kommissionen har givet en god forklaring af under sagen, udgør artikel 3, stk. 2, første led, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58 undtagelsesbestemmelser, da de fra disse to direktivers anvendelsesområde udelukker behandling af oplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-traktaten, såsom aktiviteter i henhold til EU-traktatens afsnit V og VI, og under alle omstændigheder udelukker behandling med henblik på aktiviteter vedrørende den offentlige sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område.
126. Derimod har de bestemmelser eller klausuler i artikel 13, stk. 1, i direktiv 95/46 og i artikel 15, stk. 1, i direktiv 2002/58, der giver medlemsstaterne mulighed for at gøre indskrænkninger, en helt anden rækkevidde. De giver nemlig kun medlemsstaterne mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser, som er fastsat i de to direktiver, når en sådan indskrænkning udgør en nødvendig foranstaltning for at tilgodese et offentligt formål, såsom statens sikkerhed, forsvar og den offentlige sundhed samt forebyggelse, efterforskning, opklaring og retsforfølgning af strafbare handlinger. De pågældende behandlinger af oplysninger er imidlertid fortsat omfattet af Fællesskabets system for beskyttelse af personoplysninger.
127. Den omstændighed, at de almene hensyn, som er nævnt i disse to typer af klausuler, er ensartede, bidrager sikkert til, at deres rækkevidde sammenblandes med hinanden. Irlands opfattelse beror formentlig delvis på denne sammenblanding, da denne medlemsstat udelukkende påberåber sig undtagelsesklausulerne, som den fortolker på den måde, at den omstændighed alene, at en retsakt forfølger et offentligt formål, såsom efterforskning, opklaring og retsforfølgning af grov kriminalitet, som er nævnt i artikel 1, stk. 1, i direktiv 2006/24, er tilstrækkeligt til, at retsakten er udelukket fra fællesskabsrettens anvendelsesområde.
128. Selve den omstændighed, at direktiv 95/46 og 2002/58 indeholder begrænsningsklausuler, som præciserer de offentlige formål, der kan begrunde en indskrænkning af rettigheder og forpligtelser vedrørende beskyttelse af oplysninger, viser imidlertid, at denne opfattelse er fejlagtig, og at den omstændighed alene, at der er nævnt et offentligt formål, såsom det, der er nævnt i artikel 1, stk. 1, i direktiv 2006/24 om efterforskning, opklaring og retsforfølgning af grov kriminalitet, ikke i sig selv giver mulighed for at fastslå, hvilket område der henhører under fællesskabsretten eller, sagt mere præcist, under Fællesskabets system for beskyttelse af personoplysninger.
129. For at bevare begrænsningsklausulernes effektive virkning og undgå, at de blot udgør en gentagelse af undtagelsesklausulerne, må det derfor antages, at det i medfør af de undtagelsesklausuler, som er indeholdt i artikel 3, stk. 2, første led, i direktiv 95/46 og i artikel 1, stk. 3, i direktiv 2002/58 kun er i det tilfælde, hvor der er foretaget en behandling af data med henblik på udøvelse af statens eller statslige myndigheders aktiviteter, og som ikke har noget at gøre med området for den enkelte borgers aktiviteter – for at gentage den formulering, Domstolen først anvendte i Lindqvist-dommen og derpå i dommen i sagen Parlamentet mod Rådet og Kommissionen – at den er udelukket fra Fællesskabets system for beskyttelse af personoplysninger.
130. Ud fra disse betragtninger er jeg derfor af den opfattelse, at da direktiv 2006/24 ikke indeholder nogen bestemmelser om harmonisering af betingelserne for adgang til og anvendelse af data med henblik på udøvelse af statens eller statslige myndigheders aktiviteter, som ikke har noget at gøre med området for den enkelte borgers aktiviteter, og da den navnlig ikke indeholder nogen bestemmelser, der falder ind under begrebet »politisamarbejde og retligt samarbejde i kriminalsager« i EU-traktatens afsnit VI’s forstand, er direktivet med rette vedtaget inden for rammerne af fællesskabssøjlen, nærmere betegnet på grundlag af artikel 95 EF.
131. Hvis man havde fulgt Irlands opfattelse om, at direktiv 2006/24 burde være vedtaget på grundlag af artikel 30 EU, artikel 31, stk. 1, litra c), EU og artikel 34, stk. 2, litra b), EU, ville artikel 47 EU være blevet tilsidesat.
132. Endelig er der grund til at præcisere, at selv om man antog, at direktiv 2006/24 indeholder to komponenter, hvoraf den ene vedrører det indre markeds oprettelse og funktion som omhandlet i artikel 95 EF og den anden »politisamarbejde[t] og [det] retlig[e] samarbejde i kriminalsager« i EU-traktatens afsnit VI’s forstand, uden at den ene komponent er underordnet i forhold til den anden, ville artikel 47 EU stadig være til hinder for at anvende dette afsnit i EU-traktaten som hjemmel.
133. Domstolen har således i dommen af 20. maj 2008 i sagen Kommissionen mod Rådet præciseret rækkevidden af artikel 47 EU i det tilfælde, hvor det efter en undersøgelse af foranstaltningen viser sig, at den forfølger et dobbelt formål eller indeholder to komponenter, hvoraf den ene henhører under EF-traktaten og den anden under EU-traktaten, uden at den ene er underordnet i forhold til den anden. Domstolen fastslog i denne situation, at da artikel 47 EU er til hinder for, at Unionen vedtager en foranstaltning på grundlag af EU-traktaten, som kunne være gyldigt vedtaget på grundlag af EF-traktaten, kan Unionen ikke anvende en hjemmel inden for et område, der er dækket af EU-traktaten, til vedtagelse af bestemmelser, som også omfattes af en kompetence, der er tillagt Fællesskabet ved EF-traktaten.
134. Når en foranstaltning indeholder to komponenter, som gør, at den kunne være omfattet såvel af EF-traktaten som af EU-traktaten, følger det altså af EU-traktatens artikel 47, at EF-traktaten under alle forhold skal have førsteprioritet.
VII – Forslag til afgørelse
135. På grundlag af samtlige de anførte betragtninger skal jeg foreslå Domstolen at træffe følgende afgørelse:
»1) Europa-Parlamentet og Rådet for Den Europæiske Union frifindes.
2) Irland betaler sagens omkostninger.
3) Kongeriget Spanien, Kongeriget Nederlandene, Den Slovakiske Republik, Kommissionen for De Europæiske Fællesskaber og Den Europæiske Tilsynsførende for Databeskyttelse bærer deres egne omkostninger.«