CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:258

DOMSTOLENS DOM (Store Afdeling)

5. april 2022 (*)

»Præjudiciel forelæggelse – behandling af personoplysninger i den elektroniske kommunikationssektor – kommunikationshemmelighed – udbydere af elektroniske kommunikationstjenester – generel og udifferentieret lagring af trafikdata og lokaliseringsdata – adgang til de lagrede data – efterfølgende domstolsprøvelse – direktiv 2002/58/EF – artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 11 samt artikel 52, stk. 1 – en national rets mulighed for tidsmæssigt at begrænse virkningerne af en ugyldighedserklæring vedrørende en national lovgivning, der er uforenelig med EU-retten – udelukket«

I sag C-140/20,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Supreme Court (øverste domstol, Irland) ved afgørelse af 25. marts 2020, indgået til Domstolen samme dag, i sagen

G.D.

mod

Commissioner of An Garda Síochána,

Minister for Communications, Energy and Natural Resources,

Attorney General,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, afdelingsformændene A. Arabadjiev, A. Prechal, S. Rodin, I. Jarukaitis og N. Jääskinen samt dommerne T. von Danwitz (refererende dommer), M. Safjan, F. Biltgen, P.G. Xuereb, N. Piçarra, L.S. Rossi og A. Kumin,

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: kontorchef D. Dittert,

på grundlag af den skriftlige forhandling og efter retsmødet den 13. september 2021,

efter at der er afgivet indlæg af:

– G.D. ved solicitor J. Dunphy, R. Kennedy og R. Farrell, SC, samt K. McCormack, BL,

– Commissioner of An Garda Síochána, Minister for Communications, Energy and Natural Resources og Attorney General ved M. Browne, S. Purcell, C. Stone, J. Quaney og A. Joyce, som befuldmægtigede, bistået af S. Guerin, og P. Gallagher, SC, samt D. Fennelly og L. Dwyer, BL,

– den belgiske regering ved P. Cottin og J.-C. Halleux, som befuldmægtigede, bistået af advocaat J. Vanpraet,

– den tjekkiske regering ved M. Smolek, O. Serdula og J. Vláčil, som befuldmægtigede,

– den danske regering først ved J. Nymann-Lindegren, M. Jespersen og M. Wolff, derefter ved M. Wolff og V. Jørgensen, som befuldmægtigede,

– den estiske regering ved A. Kalbus et M. Kriisa, som befuldmægtigede,

– den spanske regering ved L. Aguilera Ruiz, som befuldmægtiget,

– den franske regering ved E. de Moustier, A. Daniel, D. Dubois, T. Stéhelin og J. Illouz, som befuldmægtigede,

– den cypriotiske regering ved I. Neophytou, som befuldmægtiget,

– den nederlandske regering ved C.S. Schillemans, M.K. Bulterman og A. Hanje, som befuldmægtigede,

– den polske regering ved B. Majczyna og J. Sawicka, som befuldmægtigede,

– den portugisiske regering ved L. Inez Fernandes, P. Barros da Costa og I. Oliveira, som befuldmægtigede,

– den finske regering ved M. Pere og A. Laine, som befuldmægtigede,

– den svenske regering ved O. Simonsson, J. Lundberg, H. Shev, C. Meyer-Seitz, A. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson og H. Eklinder, som befuldmægtigede,

– Europa-Kommissionen ved S.L. Kalėda, H. Kranenborg, M. Wasmeier og F. Wilman, som befuldmægtigede,

– Den Europæiske Tilsynsførende for Databeskyttelse ved D. Nardi, N. Stolič, K. Ujazdowski og A. Buchta, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 18. november 2021,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 (EUT 2009, L 337, s. 11) (herefter »direktiv 2002/58«), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem G.D. på den ene side og Commissioner of An Garda Síochána (chefen for det nationale politi, Irland), Minister for Communications, Energy and Natural Ressources (minister for kommunikation, energi og naturressourcer, Irland) og Attorney General på den anden side vedrørende gyldigheden af Communications (Retention of Data) Act 2011 (kommunikationloven (datalagring) af 2011, herefter »loven af 2011«).

Retsforskrifter

EU-retten

3 I 2., 6., 7. og 11. betragtning til direktiv 2002/58 er følgende anført:

»(2) Dette direktiv søger at overholde de grundlæggende rettigheder og respektere de principper, der anerkendes i især [chartret]. Direktivet søger især at sikre fuld overholdelse af rettighederne i [chartrets] artikel 7 og 8.

[…]

(6) Internettet vender op og ned på de traditionelle markedsstrukturer, idet det udgør en fælles, global infrastruktur for fremføring af en lang række elektroniske kommunikationstjenester. Offentligt tilgængelige elektroniske kommunikationstjenester via internettet giver brugerne nye muligheder, men medfører også nye risikomomenter for deres personoplysninger og privatliv.

(7) Med hensyn til offentlige kommunikationsnet bør der træffes særlige foranstaltninger af lovgivningsmæssig, administrativ og teknisk art for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og juridiske personers legitime interesser, navnlig mod den voksende risiko, der er forbundet med automatiseret opbevaring og behandling af oplysninger om abonnenter og brugere.

[…]

(11) Ligesom [Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)] finder dette direktiv ikke anvendelse på beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der er forbundet med aktiviteter, der ikke er omfattet af [EU-]retten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950,] som fortolket i Den Europæiske Menneskerettighedsdomstols retspraksis. Sådanne foranstaltninger skal være passende, stå i åbenbart rimeligt forhold til det mål, der forfølges, og være nødvendige i et demokratisk samfund, og foranstaltningerne bør omfattes af passende beskyttelsesordninger i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.«

4 Artikel 1 i direktiv 2002/58 med overskriften »Anvendelsesområde og formål« bestemmer:

»1. Dette direktiv tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i [Den Europæiske Union].

2. Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser direktiv [95/46]. Nærværende bestemmelser beskytter desuden legitime interesser hos abonnenter, der er juridiske personer.

3. Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af [EUF-traktaten], som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«

5 Artikel 2 i direktiv 2002/58 med overskriften »Definitioner« har følgende ordlyd:

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv [95/46] og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (rammedirektivet) [(EFT 2002, L 108, s. 33)].

Følgende definitioner anvendes også:

a) »bruger«: en fysisk person, som anvender en offentligt tilgængelig elektronisk kommunikationstjeneste i privat eller forretningsmæssigt øjemed, uden nødvendigvis at abonnere på den pågældende tjeneste

b) »trafikdata«: data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf

c) »lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender

d) »kommunikation«: oplysninger, som udveksles eller overføres mellem et begrænset antal parter via en offentligt tilgængelig elektronisk kommunikationstjeneste. Dette omfatter ikke oplysninger, der overføres som del af en radio- og fjernsynstransmissionstjeneste til offentligheden via et elektronisk kommunikationsnet, medmindre oplysningerne kan kædes sammen med en identificerbar abonnent eller bruger, der modtager oplysningerne

[…]«

6 Artikel 3 i direktiv 2002/58 med overskriften »Omfattede tjenester« fastsætter:

»Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i [EU], herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«

7 Dette direktivs artikel 5 med overskriften »Kommunikationshemmelighed« har følgende ordlyd:

»1. Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.

[…]

3. Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv [95/46] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

8 Artikel 6 i direktiv 2002/58 med overskriften »Trafikdata« bestemmer:

»1. Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.

2. Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

3. Med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af værdiforøgende tjenester er det tilladt udbyderen af en offentligt tilgængelig elektronisk kommunikationstjeneste at behandle de i stk. 1 omtalte oplysninger i det omfang og tidsrum, som sådanne tjenester eller markedsføringen kræver, hvis den abonnent eller bruger, som oplysningerne vedrører, forudgående har givet sit samtykke hertil. Brugeren eller abonnenten skal på et hvilket som helst tidspunkt have mulighed for at trække sit samtykke til behandling af trafikdata tilbage.

[…]

5. Behandling af trafikdata i henhold til stk. 1, 2, 3 og 4 må kun foretages af personer, som handler efter bemyndigelse fra udbydere af de offentligt tilgængelige kommunikationsnet og ‑tjenester, og som er beskæftiget med debitering eller trafikstyring, kundeforespørgsler, afsløring af svig, markedsføring af elektroniske kommunikationstjenester eller levering af en tillægstjeneste, og skal begrænses til det for sådanne aktiviteter nødvendige.

[…]«

9 Direktivets artikel 9 med overskriften »Lokaliseringsdata, bortset fra trafikdata« fastsætter følgende i stk. 1:

»Hvis lokaliseringsdata, bortset fra trafikdata, vedrørende brugere af eller abonnenter på de offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester kan behandles, må disse data kun behandles, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil, og da kun i det omfang og i det tidsrum, som er nødvendigt for levering af en tillægstjeneste. Tjenesteudbyderen skal, inden brugernes eller abonnenternes samtykke indhentes, underrette dem om, hvilken type lokaliseringsdata, bortset fra trafikdata, der behandles, hvorfor og hvor længe de behandles, og om de videregives til en tredjemand med henblik på levering af tillægstjenesten. […]«

10 Artikel 15 i direktiv 2002/58 med overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]« bestemmer i stk. 1:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med [EU-]rettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

Irsk ret

11 Som det fremgår af anmodningen om præjudiciel afgørelse, blev loven af 2011 vedtaget med henblik på at gennemføre Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54) i den irske retsorden.

12 Section 1 i loven af 2011 definerer begrebet »data« som »trafikdata eller lokaliseringsdata samt dermed forbundne data, der er nødvendige for at identificere abonnenten eller brugeren«, og begrebet »alvorlig lovovertrædelse« som en lovovertrædelse, der straffes med frihedsstraf i fem år eller derover, samt de øvrige lovovertrædelser, der er anført i bilag 1 til denne lov.

13 I henhold til denne lovs section 3 pålægges alle udbydere af elektroniske kommunikationstjenester at lagre de data, der er omhandlet i bilag 2, del 1, til loven, i to år, og at lagre de data, der er omhandlet i bilag 2, del 2, i ét år.

14 Bilag 2, del 1, til loven omhandler bl.a. data vedrørende fastnettelefoni og mobiltelefoni, der gør det muligt at identificere kilden, bestemmelsesstedet, datoen og tidspunktet for en kommunikations begyndelse og afslutning, den pågældende kommunikationstype samt arten og den geografiske placering af det anvendte kommunikationsudstyr. Navnlig fastsættes i bilag 2, del 1, punkt 6, bestemmelser om lagring af data, der er nødvendige for at foretage lokalisering af mobile elektroniske kommunikationsmidler, idet disse data dels er midlets celle-ID, dels data, der med henvisning til lokaliseringskoden (celle-ID) viser cellernes geografiske lokalisering i den periode, hvori der lagres kommunikationsdata.

15 Bilag 2, del 2, til loven af 2011 omhandler data vedrørende internetadgang, elektronisk post og IP-telefoni og omfatter bl.a. identifikations- og telefonnumre, IP-adresser samt datoen og tidspunktet for en kommunikations begyndelse og afslutning. Kommunikationens indhold er ikke omfattet af denne type data.

16 I henhold til section 4 og 5 i loven af 2011 skal udbydere af elektroniske kommunikationstjenester træffe visse foranstaltninger for at sikre, at data beskyttes mod uautoriseret adgang.

17 Lovens section 6, der fastsætter de betingelser, hvorunder en anmodning om adgang til data kan indgives, bestemmer følgende i subsection 1:

»En embedsmand i det nationale politi, der mindst har rang af politiinspektør, kan anmode en tjenesteudbyder om at udlevere data, som denne tjenesteudbyder har lagret i overensstemmelse med section 3, hvis denne embedsmand finder, at de pågældende data er nødvendige med henblik på:

(a) forebyggelse, afsløring, efterforskning eller retsforfølgning af en alvorlig lovovertrædelse

(b) beskyttelse af statens sikkerhed

18 Lovens section 7 pålægger udbydere af elektroniske kommunikationstjenester at imødekomme de anmodninger, der er omhandlet i lovens section 6.

19 Blandt de kontrolmekanismer vedrørende afgørelser truffet af en politiembedsmand i det nationale politi som nævnt i section 6 i loven af 2011 er den klageprocedure, der er fastsat i lovens section 10, og proceduren for en designated judge (udpeget dommer) som omhandlet i lovens section 12, der har til opgave at føre tilsyn med anvendelsen af lovens bestemmelser.

Tvisten i hovedsagen og de præjudicielle spørgsmål

20 I marts 2015 blev G.D. idømt livsvarigt fængsel for drab på en person, der var forsvundet i august 2012, og hvis jordiske rester først var blevet fundet i september 2013. Under appellen af dommen gjorde G.D. bl.a. gældende, at førsteinstansretten med urette havde antaget trafikdata og lokaliseringsdata vedrørende telefonopkald som beviser, idet loven af 2011 – som regulerede lagringen af disse data, og på grundlag af hvilken det nationale politis efterforskere havde fået adgang til disse data – tilsidesatte G.D.’s rettigheder i henhold til EU-retten. Denne appel verserer i øjeblikket.

21 Med henblik på at kunne bestride antageligheden af disse beviser inden for rammerne af straffesagen anlagde G.D. et civilt søgsmål ved High Court (ret i første instans, Irland) med påstand om, at visse bestemmelser i loven af 2011 blev erklæret ugyldige. Ved afgørelse af 6. december 2018 tog denne førsteinstansret G.D.’s argumentation til følge og fastslog, at lovens section 6(1)(a) var uforenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1. Irland har iværksat appel til prøvelse af denne afgørelse ved Supreme Court (øverste domstol, Irland), som er den forelæggende ret.

22 Den straffesag, som verserer for Court of Appeal (appeldomstol, Irland), er blevet udsat, indtil den forelæggende ret har truffet afgørelse i den civile hovedsag.

23 Irland har for den forelæggende ret gjort gældende, at med henblik på at afgøre, om indgrebet i retten til respekt for privatlivet, der er fastsat i chartrets artikel 7, som følge af lagringen af trafikdata og lokaliseringsdata i henhold til loven af 2011 er forholdsmæssigt, skal formålene med den ordning, der er indført ved denne lov, undersøges som helhed. Ifølge Irland er der ved denne lov desuden fastlagt en detaljeret ramme for adgang til lagrede data, i henhold til hvilken den enhed, der inden for det nationale politi har til opgave at foretage en forudgående undersøgelse af anmodninger om adgang, er funktionelt uafhængig i forhold til det nationale politi ved udførelsen af sine opgaver, og den opfylder følgelig kravet om en forudgående kontrol foretaget af en uafhængig administrativ enhed. Dette kontrolsystem suppleres af en klageprocedure og adgang til domstolsprøvelse. Endelig har Irland gjort gældende, at hvis det i sidste ende fastslås, at loven af 2011 er i strid med EU-retten, skal ethvert resultat, som den forelæggende ret måtte udlede heraf, hvad angår de tidsmæssige virkninger, alene finde fremtidig anvendelse.

24 G.D. har for sit vedkommende gjort gældende, at den generelle og udifferentierede ordning for lagring af data, der er indført ved loven af 2011, og den ordning for adgang til disse data, der er fastsat ved denne lov, er uforenelige med EU-retten, således som den navnlig er fortolket af Domstolen i præmis 120 i dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970).

25 Den forelæggende ret har indledningsvis præciseret, at den alene skal vurdere, om det var med rette, at High Court (ret i første instans) fastslog, at section 6(1)(a) i loven af 2011 er uforenelig med EU-retten, og at spørgsmålet om antageligheden af de beviser, der er fremført i straffesagen, til gengæld hører under Court of Appeals (appeldomstol) enekompetence som den ret, for hvilken der er iværksat appel til prøvelse af straffedommen.

26 I denne sammenhæng er den forelæggende ret først og fremmest i tvivl om, hvilke EU-retlige krav der gælder for så vidt angår lagring af data med henblik på bekæmpelse af grov kriminalitet. I denne henseende er den forelæggende ret i det væsentlige af den opfattelse, at kun en generel og udifferentieret lagring af trafikdata og lokaliseringsdata gør det muligt at bekæmpe grov kriminalitet effektivt, hvilket ikke kan lade sig gøre ved en målrettet og hurtig lagring (quick freeze). Hvad angår målrettet lagring ønsker den forelæggende ret oplyst, om det er muligt at rette den mod bestemte grupper eller geografiske områder med henblik på bekæmpelse af grov kriminalitet, for så vidt som visse alvorlige lovovertrædelser sjældent involverer omstændigheder, der er kendte af de kompetente nationale myndigheder, og som giver dem anledning til forud for begåelsen af en forbrydelse at mistænke, at den vil blive begået. Desuden kan målrettet lagring give anledning til forskelsbehandling. Hvad angår hurtig lagring er den forelæggende ret af den opfattelse, at en sådan kun er nyttig i situationer, hvor der er en identificerbar mistænkt på et tidligt tidspunkt i efterforskningen.

27 Hvad dernæst angår adgangen til de data, som udbyderne af elektroniske kommunikationstjenester har lagret, har den forelæggende ret fremhævet, at det nationale politi i eget regi har indført en ordning for selvcertificering af anmodninger om adgang rettet til disse udbydere. Det fremgår således af de oplysninger, der er fremlagt for High Court (ret i første instans), at chefen for det nationale politi som en intern foranstaltning har besluttet, at anmodninger om adgang, der indgives i henhold til loven af 2011, skal behandles centralt af en enkelt ansat ved det nationale politi, som er politiinspektør, dvs. chefen for sikkerheds- og efterretningsafdelingen. Hvis denne finder, at de pågældende data er nødvendige med henblik på navnlig forebyggelse, afsløring, efterforskning eller retsforfølgning af en alvorlig lovovertrædelse, kan vedkommende anmode udbyderne af elektroniske kommunikationstjenester om adgang hertil. Chefen for det nationale politi har endvidere i dettes regi oprettet en selvstændig enhed benævnt Telecommunications Liaison Unit (enhed for telekommunikationsforbindelser, herefter »TLU«), som skal bistå chefen for sikkerheds- og efterretningsafdelingen ved dennes udførelse af sine opgaver og fungere som eneste kontaktpunkt i forhold til disse tjenesteudbydere.

28 Den forelæggende ret har tilføjet, at i den periode, hvor den strafferetlige efterforskning af G.D. blev foretaget, skulle alle anmodninger om adgang til data i første omgang godkendes af en politiinspektør eller af en betjent, der fungerede som sådan, før de blev sendt til TLU til behandling, og at efterforskerne var blevet bedt om at medtage tilstrækkeligt detaljerede oplysninger i anmodningen til, at der kunne træffes en afgørelse på et velinformeret grundlag. TLU og chefen for sikkerheds- og efterretningsafdelingen skulle desuden efterprøve lovligheden, nødvendigheden og forholdsmæssigheden af anmodningerne om adgang til data under hensyntagen til, at den nævnte chef eventuelt ville skulle begrunde sin afgørelse over for en dommer udpeget af High Court (ret i første instans). TLU er desuden underlagt kontrol af Data Protection Commissioner (den tilsynsførende for databeskyttelse, Irland).

29 Endelig er den forelæggende ret i tvivl om rækkevidden og de tidsmæssige virkninger af en eventuel konstatering af, at loven af 2011 er uforenelig med EU-retten. I denne henseende har den forelæggende ret præciseret, at en sådan konstatering kun vil kunne gælde fremtidigt, eftersom de data, der er blevet brugt som beviser i straffesagen mod G.D., var genstand for lagring og adgang i slutningen af 2013, dvs. i en periode, hvor Irland havde pligt til at anvende bestemmelserne i loven af 2011, som gennemfører direktiv 2006/24. Ifølge Irland vil en sådan løsning ligeledes være hensigtsmæssig, for så vidt som efterforskning og retsforfølgning af alvorlige lovovertrædelser i Irland samt allerede retsforfulgte og dømte personers situation ellers vil kunne blive påvirket i alvorlig grad.

30 På denne baggrund har Supreme Court (øverste domstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Er en generel/universel ordning for lagring af data – selv om den er undergivet strenge begrænsninger med hensyn til lagring og adgang – i sig selv i strid med artikel 15 i direktiv [2002/58] som fortolket i lyset af chartret?

2) Kan den nationale ret i forbindelse med undersøgelsen af, om en national foranstaltning, der er gennemført i henhold til direktiv [2006/24], og som fastsætter en generel ordning for lagring af data (med forbehold af den nødvendige strenge kontrol med hensyn til lagring og/eller adgang), skal anses for uforenelig med EU-retten, og navnlig ved vurderingen af, om en sådan ordning er forholdsmæssig, tage hensyn til den omstændighed, at tjenesteudbydere lovligt kan lagre data til deres egne kommercielle formål, og kan det kræves, at de lagrer data af hensyn til den nationale sikkerhed, som ikke er omfattet af bestemmelserne i direktiv [2002/58]?

3) Hvilke kriterier skal den nationale ret anvende i forbindelse med vurderingen af, om en national foranstaltning om adgang til lagrede data er forenelig med EU-retten, og navnlig chartret, når den undersøger, om en sådan adgangsordning sikrer den krævede forudgående og uafhængige kontrol, som Domstolen har fastlagt i sin praksis? Kan en national ret i denne sammenhæng ved en sådan bedømmelse tage hensyn til, om der foreligger en efterfølgende [domstolsprøvelse eller en uafhængig kontrol]?

4) Er en national ret under alle omstændigheder forpligtet til at erklære en national foranstaltning uforenelig med artikel 15 i direktiv [2002/58], når den nationale foranstaltning fastsætter en generel ordning for lagring af data med henblik på bekæmpelse af grov kriminalitet, og når den nationale ret på grundlag af alle de foreliggende beviser har fastslået, at en sådan lagring er både nødvendig og absolut påkrævet for at opfylde målet om bekæmpelse af grov kriminalitet?

5) Såfremt en national ret må fastslå, at en national foranstaltning ikke er i overensstemmelse med artikel 15 i direktiv [2002/58], som fortolket i lyset af chartret, kan den da begrænse de tidsmæssige virkninger af en sådan afgørelse, når den er overbevist om, at en undladelse heraf ville medføre »kaos og indgreb i den offentlige interesse« (i overensstemmelse med den tilgang, som f.eks. blev anvendt i R (National Council for Civil Liberties) mod Secretary of State for Home Department and Secretary of State for Foreign Affairs (2018) EWHC 975, præmis 46)?

6) Kan en national ret, som er blevet anmodet om at fastslå, at den nationale lovgivning er uforenelig med artikel 15 i direktiv [2002/58], og/eller at undlade at anvende denne lovgivning, og/eller at fastslå, at anvendelsen af en sådan lovgivning har krænket en borgers rettigheder, uanset om det sker inden for rammerne af en procedure, der er indledt for at muliggøre et anbringende om anerkendelse af bevismidler i forbindelse med en straffesag eller på anden vis, være berettiget til at nægte at tillade brugen af dette retsmiddel for så vidt angår data, der lagres i henhold til den nationale bestemmelse, der er vedtaget i henhold til forpligtelsen i artikel 288 TEUF om at gennemføre et direktivs bestemmelser i national ret, eller til at begrænse en sådan konstatering til tidsrummet efter datoen, hvor Domstolen erklærede direktiv [2006/24] for ugyldigt, hvilket skete [ved dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238)]?«

Om de præjudicielle spørgsmål

Det første, det andet og det fjerde spørgsmål

31 Med det første, det andet og det fjerde spørgsmål, der skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der med henblik på bekæmpelse af grov kriminalitet foreskriver en generel og udifferentieret lagring af trafikdata og lokaliseringsdata.

32 Indledningsvis bemærkes, at det fremgår af fast retspraksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den lovgivning, som den er en del af, og bl.a. til denne lovgivnings tilblivelse (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 105 og den deri nævnte retspraksis).

33 Det fremgår af selve ordlyden af artikel 15, stk. 1, i direktiv 2002/58, at de retsforskrifter, som direktivet tillader medlemsstaterne at vedtage på de i direktivet fastsatte betingelser, kun må tage sigte på »at indskrænke rækkevidden« af de rettigheder og forpligtelser, der er omhandlet i bl.a. i artikel 5, 6 og 9 i direktiv 2002/58.

34 Hvad angår den ordning, der er indført ved dette direktiv, og hvori dets artikel 15, stk. 1, indgår, bemærkes, at medlemsstaterne i henhold til direktivets artikel 5, stk. 1, første og andet punktum, via nationale forskrifter skal sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata. De har navnlig pligt til at forbyde aflytning, registrering, lagring og andre måder, hvorpå samtaler og de dermed forbundne trafikdata kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. samme direktivs artikel 15, stk. 1.

35 I denne henseende har Domstolen allerede fastslået, at artikel 5, stk. 1, i direktiv 2002/58 fastsætter princippet om fortrolighed i forbindelse med såvel elektronisk kommunikation som de dermed forbundne trafikdata, og navnlig indebærer, at det for andre end brugerne principielt er forbudt for enhver at lagre denne kommunikation og disse data, uden at disse brugere har givet samtykke hertil (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 107).

36 Denne bestemmelse afspejler det formål, som EU-lovgiver forfulgte ved vedtagelsen af direktiv 2002/58. Det fremgår nemlig af begrundelsen til forslaget til Europa-Parlamentets og Rådets direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (KOM(2000) 385 endelig), der lå til grund for direktiv 2002/58, at EU-lovgiver ønskede »at sikre, at der fortsat garanteres en høj grad af beskyttelse af personoplysninger og privatlivets fred i forbindelse med alle elektroniske kommunikationstjenester, uanset hvilken teknologi der anvendes«. Som det bl.a. fremgår af sjette og syvende betragtning til det nævnte direktiv, har dette således til formål at beskytte brugerne af elektroniske kommunikationstjenester mod de risikomomenter for deres personoplysninger og privatliv, der følger af anvendelsen af ny teknologi, og navnlig den øgede mulighed for at foretage automatiseret opbevaring og behandling af oplysninger. Som det fremgår af anden betragtning til samme direktiv, ønsker EU-lovgiver især at sikre fuld overholdelse af de rettigheder, der er nævnt i chartrets artikel 7 og 8 (jf. i denne retning dom af 21.12.2016, Tele2 Sverige og Watson m.fl., C-203/15 og C-698/15, EU:C:2016:970, præmis 83, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 106).

37 Med vedtagelsen af direktiv 2002/58 har EU-lovgiver således konkretiseret disse rettigheder, hvilket indebærer, at brugerne af elektroniske kommunikationsmidler principielt med rette kan forvente, at deres kommunikation og de dermed forbundne data forbliver anonyme, så længe de ikke har givet deres samtykke, og ikke kan gøres til genstand for registrering (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 109).

38 Hvad navnlig angår den behandling og lagring af trafikdata vedrørende abonnenter og brugere, der foretages af udbydere af elektroniske kommunikationstjenester, er det i artikel 6 i direktiv 2002/58 fastsat, at sådanne data skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, og i artikel 6, stk. 2, er det præciseret, at det med henblik på debitering af abonnenten og afregning for samtrafik kun er tilladt at behandle trafikdata indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger. Hvad angår andre lokaliseringsdata end trafikdata bestemmer direktivets artikel 9, stk. 1, at disse data kun må behandles under visse betingelser og kun, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil.

39 Direktiv 2002/58 fastlægger følgelig ikke blot rammerne for adgang til sådanne data i form af garantier, der skal forhindre misbrug, men fastsætter navnlig også et princip om forbud mod tredjemands lagring heraf.

40 For så vidt som medlemsstaterne i henhold til artikel 15, stk. 1, i direktiv 2002/58 kan vedtage retsforskrifter med henblik på at »indskrænke rækkevidden« af de rettigheder og forpligtelser, der omhandles i bl.a. direktivets artikel 5, 6 og 9, såsom dem, der følger af princippet om kommunikationshemmelighed og forbuddet mod lagring af de dermed forbundne data, jf. denne doms præmis 35, fastsætter denne bestemmelse en undtagelse til hovedreglen i bl.a. artikel 5, 6 og 9, og den skal således i overensstemmelse med fast retspraksis fortolkes strengt. En sådan bestemmelse kan således ikke begrunde, at en fravigelse af den principielle pligt til at sikre fortroligheden af elektronisk kommunikation og de dermed forbundne data, og navnlig af det forbud mod at lagre disse data, der er fastsat i dette direktivs artikel 5, bliver hovedreglen, idet rækkevidden af sidstnævnte bestemmelse i så fald i høj grad ville blive udhulet (jf. i denne retning dom af 21.12.2016, Tele2 Sverige og Watson m.fl., C-203/15 og C-698/15, EU:C:2016:970, præmis 89, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 111).

41 Hvad angår de formål, som kan begrunde en begrænsning af de rettigheder og forpligtelser, der er fastsat i navnlig artikel 5, 6 og 9 i direktiv 2002/58, har Domstolen allerede fastslået, at opregningen af de formål, der er fastsat i dette direktivs artikel 15, stk. 1, første punktum, er udtømmende, således at en retsforskrift, der er vedtaget i henhold til denne bestemmelse, faktisk og præcist skal opfylde et af disse formål (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 112 og den deri nævnte retspraksis).

42 Det fremgår endvidere af artikel 15, stk. 1, tredje punktum, i direktiv 2002/58, at de forskrifter, som medlemsstaterne vedtager i henhold til denne bestemmelse, skal være i overensstemmelse med EU-rettens generelle principper, som bl.a. omfatter proportionalitetsprincippet, ligesom de grundlæggende rettigheder, der er sikret ved chartret, skal være overholdt. Domstolen har i denne henseende allerede fastslået, at den pligt, som en medlemsstat i henhold til en national lovgivning har pålagt udbydere af elektroniske kommunikationstjenester, til at lagre trafikdata med henblik på i påkommende tilfælde at gøre dem tilgængelige for de kompetente nationale myndigheder, ikke blot rejser en række spørgsmål vedrørende overholdelsen af chartrets artikel 7 og 8, der vedrører henholdsvis respekten for privatlivet og beskyttelsen af personoplysninger, men ligeledes vedrørende artikel 11, der omhandler ytringsfriheden (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 113 og den deri nævnte retspraksis).

43 I forbindelse med fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 skal der således tages hensyn til betydningen af såvel retten til respekt for privatlivet, der er sikret ved chartrets artikel 7, som retten til beskyttelse af personoplysninger, der er sikret ved dets artikel 8, således som denne betydning fremgår af Domstolens praksis, og retten til ytringsfrihed, idet denne grundlæggende rettighed, der er sikret ved chartrets artikel 11, udgør et af de væsentlige grundlag for et demokratisk og pluralistisk samfund og er en del af de værdier, som Unionen i overensstemmelse med artikel 2 TEU er støttet på (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 114 og den deri nævnte retspraksis).

44 Det skal i denne henseende præciseres, at lagring af trafikdata og lokaliseringsdata i sig selv udgør dels en undtagelse fra det forbud mod at lagre disse data, der er fastsat i artikel 5, stk. 1, i direktiv 2002/58, og som gælder for alle andre end brugerne, dels et indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 7 og 8, idet det ikke er afgørende, om de pågældende oplysninger vedrørende privatlivet er følsomme, om dette indgreb har medført eventuelle ubehageligheder for de berørte, eller om de lagrede data efterfølgende anvendes (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 115 og 116 og den deri nævnte retspraksis).

45 Denne konklusion forekommer så meget desto mere begrundet, som at trafikdata og lokaliseringsdata kan afsløre oplysninger om en lang række forhold, der vedrører de berørte personers privatliv, herunder følsomme oplysninger, såsom oplysninger om seksuel orientering, politiske anskuelser, samfundsmæssige, filosofiske, religiøse og andre overbevisninger samt oplysninger om helbredstilstand, mens sådanne oplysninger i øvrigt nyder en særlig beskyttelse i EU-retten. De nævnte data vil tilsammen kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer. Særligt gør disse data det muligt at lave en profil af de berørte personer, hvilken oplysning, henset til retten til respekt for privatlivet, er lige så følsom som selve indholdet af kommunikationen (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 117 og den deri nævnte retspraksis).

46 For det første bemærkes, at lagring af trafikdata og lokaliseringsdata med henblik på politimæssige formål kan medføre et indgreb i retten til respekt for kommunikation, der er sikret ved chartrets artikel 7, og have afskrækkende virkninger, der kan afholde brugerne af elektroniske kommunikationsmidler fra at udøve deres ret til ytringsfrihed, der er sikret ved chartrets artikel 11, og disse virkninger er desuden så meget desto mere alvorlige i betragtning af, at der er tale om store mængder af lagrede data af meget forskellig art. For det andet bemærkes, at henset til den store mængde trafikdata og lokaliseringsdata, der løbende kan lagres ved hjælp af en generel og udifferentieret lagringsforanstaltning, og den følsomme karakter af de oplysninger, som disse data kan give adgang til, medfører alene den omstændighed, at udbyderne af elektroniske kommunikationstjenester lagrer de nævnte data, en risiko for misbrug og ulovlig adgang (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 118 og 119 og den deri nævnte retspraksis).

47 I denne henseende skal det fremhæves, at lagring af sådanne data og adgang hertil, således som det fremgår af den retspraksis, der er nævnt i denne doms præmis 44, udgør særskilte indgreb i de grundlæggende rettigheder, som beskyttes af chartrets artikel 7 og 11, og kræver særskilte begrundelser i henhold til chartrets artikel 52, stk. 1. Heraf følger, at en national lovgivning, der sikrer, at de betingelser, der følger af den retspraksis, hvori bestemmelserne i direktiv 2002/58 om adgang til lagrede data er blevet fortolket, overholdes fuldt ud, i sagens natur hverken kan begrænse eller endsige afhjælpe det alvorlige indgreb, der ville følge af en generel lagring af sådanne data som fastsat i denne nationale lovgivning, i de rettigheder, der er sikret i dette direktivs artikel 5 og 6 og ved de grundlæggende rettigheder, som konkretiseres i disse artikler.

48 Når dette er sagt, afspejler artikel 15, stk. 1, i direktiv 2002/58, for så vidt som denne bestemmelse giver medlemsstaterne mulighed for at begrænse de rettigheder og forpligtelser, der er henvist til i denne doms præmis 34-37, det forhold, at de rettigheder, der er sikret ved chartrets artikel 7, 8 og 11, ikke er absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet. Som det fremgår af chartrets artikel 52, stk. 1, tillader dette charter nemlig begrænsninger i udøvelsen af disse rettigheder, for så vidt som disse begrænsninger er fastlagt i lovgivningen og respekterer de nævnte rettigheders væsentligste indhold, og for så vidt som disse begrænsninger under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. I forbindelse med fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 i lyset af chartret skal der således også tages hensyn til betydningen af de rettigheder, der er sikret ved chartrets artikel 3, 4, 6 og 7, og den betydning, som formålene om beskyttelse af den nationale sikkerhed og om bekæmpelse af grov kriminalitet har som følge af, at de bidrager til beskyttelsen af andres rettigheder og friheder (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 120-122 og den deri nævnte retspraksis).

49 Hvad nærmer bestemt angår den effektive bekæmpelse af strafbare handlinger, som navnlig mindreårige og andre sårbare personer er ofre for, skal det således tages i betragtning, at der i medfør af chartrets artikel 7 kan påhvile de offentlige myndigheder positive forpligtelser til at vedtage retlige foranstaltninger, der har til formål at beskytte privatlivet og familielivet. Sådanne forpligtelser kan ligeledes følge af den nævnte artikel 7 med hensyn til den beskyttelse, der gælder for en persons hjem og kommunikation, af artikel 3 og 4 med hensyn til beskyttelsen af en persons fysiske og psykiske integritet og af forbuddet mod tortur og umenneskelig og nedværdigende behandling (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 126 og den deri nævnte retspraksis).

50 Som følge af eksistensen af disse forskellige positive forpligtelser er det derfor nødvendigt, at der foretages en afvejning mellem de omhandlede forskellige legitime interesser og rettigheder. Den Europæiske Menneskerettighedsdomstol har således fastslået, at de positive forpligtelser, der følger af artikel 3 og 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, som chartrets artikel 4 og 7 indeholder tilsvarende garantier for, navnlig indebærer, at der skal vedtages materielle og proceduremæssige bestemmelser samt praktiske foranstaltninger, der gør det muligt effektivt at bekæmpe lovovertrædelser mod personer gennem effektiv efterforskning og retsforfølgning, idet denne forpligtelse er så meget desto vigtigere, når et barns fysiske og psykiske velbefindende er truet. Når dette er sagt, skal de foranstaltninger, som det tilkommer de kompetente myndigheder at træffe, fuldt ud respektere adgangen til retsmidler og de andre garantier, der kan begrænse omfanget af de strafferetlige efterforskningsbeføjelser, og de andre rettigheder og frihedsrettigheder. Der skal efter Menneskerettighedsdomstolens opfattelse navnlig indføres en retlig ramme, der gør det muligt at foretage en afvejning mellem de forskellige legitime interesser og rettigheder, der skal beskyttes (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 127 og 128 og den deri nævnte retspraksis).

51 I denne forbindelse følger det af selve ordlyden af artikel 15, stk. 1, første punktum, i direktiv 2002/58, at medlemsstaterne kan vedtage en foranstaltning, der fraviger det fortrolighedsprincip, der er nævnt i denne doms præmis 35, når en sådan foranstaltning er »nødvendig, passende og forholdsmæssig i et demokratisk samfund«, idet det i 11. betragtning til dette direktiv i denne henseende er anført, at en foranstaltning af denne art skal stå i »åbenbart« rimeligt forhold til det mål, der forfølges (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 129).

52 Det skal i denne henseende bemærkes, at det af Domstolens faste praksis fremgår, at beskyttelsen af den grundlæggende ret til respekt for privatlivet kræver, at undtagelserne til og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige. Desuden kan et mål af almen interesse ikke forfølges uden hensyntagen til den omstændighed, at dette mål skal forenes med de grundlæggende rettigheder, der er berørt af foranstaltningen, ved at foretage en rimelig afvejning mellem målet af almen interesse og de pågældende rettigheder (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 130 og den deri nævnte retspraksis).

53 Det fremgår nærmere bestemt af Domstolens praksis, at medlemsstaternes mulighed for at begrunde en begrænsning af de rettigheder og forpligtelser, der navnlig er fastsat i artikel 5, 6 og 9 i direktiv 2002/58, skal vurderes ved at bedømme alvoren af det indgreb, som en sådan begrænsning indebærer, og ved at kontrollere, at betydningen af det mål af almen interesse, der forfølges med denne begrænsning, står i forhold til denne alvor (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 131 og den deri nævnte retspraksis).

54 For at opfylde kravet om proportionalitet skal en national lovgivning fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lovgivning skal være retligt bindende i national ret og navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige. Nødvendigheden af at råde over sådanne garantier er så meget desto større, når personoplysningerne er undergivet en automatiseret behandling, navnlig når der eksisterer en betydelig risiko for ulovlig adgang til disse oplysninger. Disse betragtninger gør sig især gældende, når der er tale om beskyttelse af den særlige kategori af personoplysninger, som følsomme oplysninger udgør (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 132 og den deri nævnte retspraksis).

55 En lovgivning, der foreskriver lagring af personoplysninger, skal således altid opfylde objektive kriterier, som fastlægger et forhold mellem de oplysninger, der skal lagres, og det forfulgte mål. Hvad særligt angår bekæmpelse af grov kriminalitet skal de data, som foreskrives lagret, kunne bidrage til forebyggelse, afsløring og retsforfølgning af alvorlige lovovertrædelser (jf. i denne retning dom af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 59, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 133).

56 Hvad angår de mål af almen interesse, der kan begrunde vedtagelse af en forskrift i henhold til artikel 15, stk. 1, i direktiv 2002/58, fremgår det af Domstolens praksis, og navnlig af dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), at der i overensstemmelse med proportionalitetsprincippet er et hierarki mellem disse mål, som er bestemt af deres respektive betydning, og at betydningen af det mål, der forfølges med en sådan forskrift, skal stå i forhold til alvoren af det indgreb, som den medfører.

57 I denne henseende har Domstolen fastslået, at formålet om beskyttelse af den nationale sikkerhed, sammenholdt med artikel 4, stk. 2, TEU, hvorefter den nationale sikkerhed forbliver den enkelte medlemsstats eneansvar, vejere tungere end de andre formål, der er indeholdt i artikel 15, stk. 1, i direktiv 2002/58, bl.a. formålet om bekæmpelse af kriminalitet i almindelighed, herunder også grov kriminalitet, og om beskyttelse af den offentlige sikkerhed. Med forbehold for overholdelsen af de øvrige krav, der er fastsat i chartrets artikel 52, stk. 1, kan formålet om beskyttelse af den nationale sikkerhed derfor begrunde foranstaltninger, der indebærer indgreb i de grundlæggende rettigheder, som er mere alvorlige end dem, som disse andre formål kan begrunde (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 135 og 136).

58 Det er af denne grund, at Domstolen har fastslået, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, ikke er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 168).

59 Hvad angår formålet om forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger har Domstolen fastslået, at det i overensstemmelse med proportionalitetsprincippet kun er bekæmpelsen af grov kriminalitet og forebyggelsen af alvorlige trusler mod den offentlige sikkerhed, der kan begrunde alvorlige indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, såsom de indgreb, som lagring af trafikdata og lokaliseringsdata indebærer. Det er således kun de indgreb i de nævnte grundlæggende rettigheder, der ikke er alvorlige, som kan begrundes i formålet om forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger i almindelighed (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 140 og den deri nævnte retspraksis).

60 I retsmødet fastholdt Europa-Kommissionen, at særlig grov kriminalitet kan sidestilles med en trussel mod den nationale sikkerhed.

61 Domstolen har imidlertid allerede fastslået, at formålet om beskyttelse af den nationale sikkerhed svarer til den primære interesse i at beskytte statens væsentlige funktioner og grundlæggende samfundsinteresser gennem forebyggelse og bekæmpelse af aktiviteter, der alvorligt kan destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer og navnlig direkte true samfundet, befolkningen eller staten som sådan, såsom bl.a. terrorvirksomhed (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 135).

62 Det bemærkes desuden, at til forskel fra selv særlig grov kriminalitet skal en trussel mod den nationale sikkerhed være reel og aktuel eller i det mindste forudsigelig, hvilket forudsætter, at der foreligger tilstrækkeligt konkrete omstændigheder til at kunne begrunde en generel og udifferentieret foranstaltning vedrørende lagring af trafikdata og lokaliseringsdata i et begrænset tidsrum. En sådan trussel adskiller sig derfor på grund af sin art, sin alvorlige karakter og den særlige karakter af de omstændigheder, som udgør den, fra den generelle og vedvarende risiko i form af spændinger eller forstyrrelser, selv alvorlige, for den offentlige sikkerhed og alvorlige strafbare handlinger (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 136 og 137).

63 Selv særlig grov kriminalitet kan således ikke sidestilles med en trussel mod den nationale sikkerhed. Som generaladvokaten har anført i punkt 49 og 50 i forslaget til afgørelse, ville en sådan sidestilling svare til at indføre en mellemkategori mellem den nationale sikkerhed og den offentlige sikkerhed og anvende de krav, der gælder for førstnævnte, på sidstnævnte.

64 Det følger ligeledes heraf, at det forhold, der er nævnt i det andet præjudicielle spørgsmål, nemlig at trafikdata og lokaliseringsdata lovligt er blevet lagret med henblik på beskyttelse af den nationale sikkerhed, er uden betydning for spørgsmålet om lovligheden af lagringen af disse data med henblik på bekæmpelse af grov kriminalitet.

65 Med hensyn til formålet om bekæmpelse af grov kriminalitet har Domstolen fastslået, at en national lovgivning, der med henblik herpå foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata, overskrider det strengt nødvendige og ikke kan anses for at være begrundet i et demokratisk samfund. Henset til den følsomme karakter af de oplysninger, som trafikdata og lokaliseringsdata kan give adgang til, er det nemlig af afgørende betydning for retten til respekt for privatlivet, at disse data behandles med fortrolighed. Når der henses til dels de afskrækkende virkninger for udøvelsen af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 11, og som er nævnt i denne doms præmis 46, som lagringen af disse data kan have, dels alvoren af det indgreb, som en sådan lagring indebærer, er det i et demokratisk samfund således væsentligt, at dette indgreb, således som det er tilfældet for det system, der er indført ved direktiv 2002/58, udgør undtagelsen og ikke reglen, og at disse data ikke kan gøres til genstand for en systematisk og løbende lagring. Denne konklusion gælder selv med hensyn til formålene om bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed samt den betydning, som disse formål skal tillægges (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 141 og 142 og den deri nævnte retspraksis).

66 Domstolen har endvidere fastslået, at en national lovgivning, der foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata, omfatter elektronisk kommunikation, der foretages af praktisk talt hele befolkningen, uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål. En sådan lovgivning omfatter generelt alle personer, der gør brug af elektroniske kommunikationstjenester, uden at disse personer – end ikke indirekte – befinder sig i en situation, der vil kunne give anledning til strafferetlig forfølgning. Den finder dermed anvendelse selv på personer, for hvis vedkommende der ikke findes noget som helst indicium for, at deres adfærd kan have – selv en indirekte eller fjern – sammenhæng med dette formål om at bekæmpe groft kriminelle handlinger, og navnlig uden at der foreligger nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed. Som Domstolen allerede har fastslået, er en sådan lovgivning navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et bestemt tidsrum og/eller et bestemt geografisk område og/eller en given personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af grov kriminalitet (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 143 og 144 og den deri nævnte retspraksis).

67 I præmis 168 i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), præciserede Domstolen, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, derimod ikke er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver

– målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges

– generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige

– generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og

– mulighed for, ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring (quick freeze) af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over,

for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug.

68 I den foreliggende anmodning om præjudiciel afgørelse, som indgik til Domstolen inden afsigelsen af dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), og af 2. marts 2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation) (C-746/18, EU:C:2021:152), har den forelæggende ret imidlertid lagt til grund, at kun en generel og udifferentieret lagring af trafikdata og lokaliseringsdata vil gøre det muligt effektivt at bekæmpe grov kriminalitet. Under retsmødet den 13. september 2021 blev det af bl.a. Irland og den franske regering gjort gældende, at denne konklusion ikke svækkes af den omstændighed, at medlemsstaterne kan anvende de foranstaltninger, der er nævnt i den foregående præmis.

69 I denne henseende bemærkes for det første, at effektiviteten af strafforfølgningen generelt ikke afhænger af et enkelt efterforskningsredskab, men af alle de efterforskningsredskaber, som de kompetente nationale myndigheder har til rådighed i efterforskningsøjemed.

70 For det andet skal det fremhæves, at medlemsstaterne i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, som fortolket i den retspraksis, der er nævnt i denne doms præmis 67, med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed kan vedtage ikke alene forskrifter om målrettet lagring og hurtig lagring, men også forskrifter om generel og udifferentieret lagring af dels de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, dels de IP-adresser, der er tildelt kilden til en forbindelse.

71 I denne henseende er det ubestridt, at lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, kan bidrage til bekæmpelsen af grov kriminalitet, for så vidt som disse data gør det muligt at identificere de personer, der har anvendt sådanne midler i forbindelse med planlægningen eller udførelsen af en handling, der sorterer under grov kriminalitet.

72 Som det fremgår af den retspraksis, der er sammenfattet i denne doms præmis 67, er direktiv 2002/58 ikke til hinder for generel lagring af identitetsdata med henblik på bekæmpelse af kriminalitet generelt. Under disse omstændigheder skal det præciseres, at hverken dette direktiv eller nogen anden EU-retsakt er til hinder for en national lovgivning, der har til formål at bekæmpe grov kriminalitet, og hvorefter erhvervelse af et elektronisk kommunikationsmiddel, såsom et forudbetalt SIM-kort, betinges af en kontrol af officielle dokumenter, der fastslår køberens identitet, og af sælgerens registrering af oplysningerne herom, idet sælgeren har pligt til i påkommende tilfælde at give de kompetente nationale myndigheder adgang til disse oplysninger.

73 Desuden bemærkes, at generel lagring af IP-adresserne på kilden til forbindelsen udgør et alvorligt indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, eftersom disse IP-adresser kan gøre det muligt at drage præcise slutninger om brugeren af det pågældende elektroniske kommunikationsmiddels privatliv og have en afskrækkende virkning på udøvelsen af ytringsfriheden som sikret ved chartrets artikel 11. Hvad angår en sådan lagring har Domstolen imidlertid fastslået, at der med henblik på at foretage den nødvendige afvejning af de omhandlede legitime rettigheder og interesser, som kræves i henhold til den retspraksis, der er nævnt i denne doms præmis 50-53, skal tages hensyn til den omstændighed, at IP-adressen i tilfælde, hvor en lovovertrædelse er begået online, og især i tilfælde af erhvervelse, udbredelse, transmission eller tilrådighedsstillelse online af børnepornografi som omhandlet i artikel 2, litra c), i Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT 2011, L 335, s. 1), kan udgøre det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 153 og 154).

74 Domstolen har derfor fastslået, at en sådan generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, principielt ikke forekommer at være i strid med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11, under forudsætning af, at denne mulighed er betinget af en streng overholdelse af de materielle og proceduremæssige betingelser, der skal gælde for brugen af de data, som er omhandlet i præmis 155 og 156 i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791).

75 For det tredje afspejler oplysningerne i forelæggelsesafgørelsen med hensyn til lovgivningsmæssige foranstaltninger om målrettet lagring og hurtig lagring af trafikdata og lokaliseringsdata en mere snæver forståelse af rækkevidden af disse foranstaltninger end den, der er lagt til grund i den retspraksis, der er nævnt i denne doms præmis 67. Selv om disse lagringsforanstaltninger i overensstemmelse med det anførte i denne doms præmis 40 skal have undtagelsens karakter i det system, der er indført ved direktiv 2002/58, gør dette direktiv, sammenholdt med de grundlæggende rettigheder, der er sikret ved chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, nemlig ikke muligheden for at udstede et påbud om målrettet lagring betinget af, at det på forhånd er kendt, hvor en groft kriminel handling eventuelt vil blive begået, eller hvem der mistænkes for at være involveret i en sådan handling. Direktivet kræver heller ikke, at et påbud om hurtig lagring begrænses til at omfatte mistænkte, der er identificeret forud for et sådant påbud.

76 Hvad for det første angår den målrettede lagring har Domstolen fastslået, at artikel 15, stk. 1, i direktiv 2002/58 ikke er til hinder for en national lovgivning, der er baseret på objektive forhold, som gør det muligt for det første at fokusere målrettet på de personer, hvis trafikdata og lokaliseringsdata kan afsløre en forbindelse, i det mindste indirekte, til groft kriminelle handlinger, bidrage til bekæmpelse af grov kriminalitet eller forhindre en alvorlig fare for den offentlige sikkerhed eller endog en risiko for den nationale sikkerhed (dom af 21.12.2016, Tele2 Sverige og Watson m.fl., C-203/15 og C-698/15, EU:C:2016:970, præmis 111, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 148).

77 Domstolen har i denne henseende præciseret, at selv om disse objektive forhold kan variere i forhold til de foranstaltninger, der træffes med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af grov kriminalitet, kan de således omhandlede personer bl.a. være sådanne, som på forhånd inden for rammerne af de gældende nationale procedurer og på grundlag af objektive og ikke-diskriminerende forhold er blevet identificeret som en trussel mod den pågældende medlemsstats offentlige sikkerhed eller nationale sikkerhed (jf. i denne retning dom af 21.12.2016, Tele2 Sverige og Watson m.fl., C-203/15 og C-698/15, EU:C:2016:970, præmis 110, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 149).

78 Medlemsstaterne kan således bl.a. træffe lagringsforanstaltninger vedrørende personer, der i forbindelse med en sådan identifikation er genstand for efterforskning eller andre igangværende overvågningsforanstaltninger eller er opført i det nationale strafferegister med angivelse af en tidligere dom for groft kriminelle handlinger, der kan indebære en høj risiko for gentagelse. Når en sådan identifikation er baseret på objektive og ikke-diskriminerende forhold, der er fastsat i national ret, er målrettet lagring af data om således identificerede personer begrundet.

79 For det andet kan en foranstaltning vedrørende målrettet lagring af trafikdata og lokaliseringsdata efter den nationale lovgivers valg og under streng overholdelse af proportionalitetsprincippet ligeledes baseres på et geografisk kriterium, når de kompetente nationale myndigheder på grundlag af objektive og ikke-diskriminerende forhold finder, at der i et eller flere geografiske områder foreligger en situation, der er kendetegnet ved en høj risiko for, at der planlægges eller begås groft kriminelle handlinger. Disse områder kan navnlig være steder, der er kendetegnet ved et højt antal tilfælde af groft kriminelle handlinger, steder, hvor der i særlig grad kan begås groft kriminelle handlinger, såsom steder eller infrastrukturer, der regelmæssigt besøges af et meget stort antal personer, eller strategiske steder, såsom lufthavne, banegårde, havne eller vejafgiftsområder (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 150 og den deri nævnte retspraksis).

80 Det skal fremhæves, at de kompetente nationale myndigheder ifølge denne retspraksis i forhold til de områder, der er nævnt i den foregående præmis, kan træffe en målrettet lagringsforanstaltning baseret på et geografisk kriterium, såsom bl.a. den gennemsnitlige kriminalitetsrate i et geografisk område, uden at de nødvendigvis råder over konkrete indicier for, at der planlægges eller begås groft kriminelle handlinger i de pågældende områder. For så vidt som en målrettet lagring, der er baseret på et sådant kriterium – afhængigt af, hvilke alvorlige strafbare handlinger der er tale om, og hvilken situation der foreligger i de respektive medlemsstater – både kan berøre steder, der er kendetegnet ved et højt antal tilfælde af groft kriminelle handlinger, og steder, som i særlig grad er udsatte for sådan kriminalitet, kan den principielt heller ikke give anledning til forskelsbehandling, idet kriteriet om gennemsnitsraten for grov kriminalitet ikke i sig selv har nogen forbindelse med potentielt diskriminerende forhold.

81 Endvidere og navnlig gør en målrettet lagringsforanstaltning rettet mod steder eller infrastrukturer, der regelmæssigt besøges af et meget stort antal personer, eller strategiske steder, såsom lufthavne, banegårde, havne eller vejafgiftsområder, det muligt for de kompetent myndigheder at indsamle trafikdata og navnlig lokaliseringsdata om alle de personer, der på et givet tidspunkt har benyttet et elektronisk kommunikationsmiddel på et af disse steder. En sådan målrettet lagringsforanstaltning kan således gøre det muligt for de nævnte myndigheder, gennem adgangen til de således lagrede data, at indhente oplysninger om disse personers tilstedeværelse på de steder eller i de geografiske områder, som foranstaltningen omfatter, og om deres bevægelser mellem eller inden for disse, og med henblik på bekæmpelse af grov kriminalitet heraf drage konklusioner om deres tilstedeværelse og aktivitet på disse steder eller i disse geografiske områder på et givet tidspunkt i løbet af lagringsperioden.

82 Det skal endvidere bemærkes, at de geografiske områder, der er omfattet af en sådan målrettet lagring, kan og i givet fald skal tilpasses udviklingen i de forhold, der har begrundet valget af dem, således at der bl.a. kan reageres på udviklingen i bekæmpelsen af grov kriminalitet. Domstolen har nemlig allerede fastslået, at varigheden af de målrettede lagringsforanstaltninger, der er beskrevet i denne doms præmis 76-81, ikke må overstige, hvad der er strengt nødvendigt i forhold til det forfulgte formål og de omstændigheder, der begrunder dem, dog med forbehold af muligheden for at forlænge foranstaltningen som følge af, at det fortsat er nødvendigt at foretage en sådan lagring (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 151).

83 Hvad angår muligheden for at fastsætte andre særlige kriterier end personlige eller geografiske kriterier ved iværksættelsen af en målrettet lagring af trafikdata og lokaliseringsdata kan det ikke udelukkes, at andre objektive og ikke-diskriminerende kriterier vil kunne komme på tale for at sikre, at rækkevidden af en målrettet lagring begrænses til det strengt nødvendige, og for at godtgøre en forbindelse, i det mindste indirekte, mellem groft kriminelle handlinger og de personer, hvis data lagres. Eftersom artikel 15, stk. 1, i direktiv 2002/15 vedrører retsforskrifter, der vedtages af medlemsstaterne, er det imidlertid disse og ikke Domstolen, der skal fastlægge sådanne kriterier, idet der dog ikke kan blive tale om herigennem at genindføre en generel og udifferentieret lagring af trafikdata og lokaliseringsdata.

84 Således som generaladvokat Campos Sánchez-Bordona har anført i punkt 50 i forslaget til afgørelse i sagen SpaceNet og Telekom Deutschland (C-793/19 og C-794/19, EU:C:2021:939), kan eventuelle vanskeligheder ved at opstille de præcise tilfælde og betingelser, hvorunder der kan ske en målrettet lagring, under alle omstændigheder ikke begrunde, at medlemsstaterne gør undtagelsen til en regel og foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata.

85 Hvad for det andet angår hurtig lagring af de trafikdata og lokaliseringsdata, som behandles og lagres af udbydere af elektroniske kommunikationstjenester på grundlag af artikel 5, 6 og 9 i direktiv 2002/58, eller på grundlag af de lovgivningsmæssige foranstaltninger, der er vedtaget i henhold til dette direktivs artikel 15, stk. 1, skal det bemærkes, at disse data principielt, alt efter omstændighederne, skal slettes eller gøres anonyme efter udløbet af de lovbestemte frister, inden for hvilke disse data skal behandles og lagres i overensstemmelse med de nationale bestemmelser, der gennemfører dette direktiv. Domstolen har ikke desto mindre fastslået, at der under denne behandling og lagring kan opstå situationer, hvori det er nødvendigt at lagre de nævnte data ud over disse frister for at opklare alvorlige strafbare handlinger eller angreb mod den nationale sikkerhed, såvel i den situation, hvor disse strafbare handlinger eller disse angreb allerede har kunnet konstateres, som i den situation, hvor der efter en objektiv undersøgelse af samtlige relevante omstændigheder foreligger rimelig grund til at mistænke, at der er begået sådanne strafbare handlinger eller angreb (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 160 og 161).

86 I en sådan situation står det, henset til den nødvendige afvejning af de omhandlede legitime rettigheder og interesser, der er nævnt i denne doms præmis 50-53, medlemsstaterne frit for i en lovgivning, der vedtages i henhold til artikel 15, stk. 1, i direktiv 2002/58, at fastsætte muligheden for ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som de råder over (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 163).

87 I det omfang formålet med en sådan hurtig lagring ikke længere svarer til de formål, hvortil dataene oprindeligt blev indsamlet og lagret, og da enhver behandling af data i henhold til chartrets artikel 8, stk. 2, skal opfylde udtrykkeligt angivne formål, skal medlemsstaterne i deres lovgivning præcisere det formål, med henblik på hvilket en hurtig lagring af data kan finde sted. Henset til den alvorlige karakter af det indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, som en sådan lagring kan indebære, er det kun bekæmpelsen af grov kriminalitet og a fortiori beskyttelsen af den nationale sikkerhed, der kan begrunde dette indgreb, på den betingelse, at denne foranstaltning og adgangen til de således lagrede data holder sig inden for grænserne af det strengt nødvendige, således som disse er angivet i præmis 164-167 i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791).

88 Domstolen har præciseret, at en lagringsforanstaltning af denne art ikke skal begrænses til data om de personer, der på forhånd er blevet identificeret som en trussel mod den pågældende medlemsstats offentlige sikkerhed eller nationale sikkerhed, eller om de personer, der konkret er mistænkt for at have begået en groft kriminel handling eller et angreb mod den nationale sikkerhed. Under overholdelse af den ramme, der er fastsat ved artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, og under hensyn til de betragtninger, der er anført i denne doms præmis 55, kan en sådan foranstaltning nemlig ifølge Domstolen, afhængigt af det valg, som den nationale lovgiver træffer, og såfremt den holder sig inden for det strengt nødvendige, udvides til at omfatte de trafikdata og lokaliseringsdata, der vedrører andre personer end dem, der mistænkes for at have planlagt eller begået en alvorlig strafbar handling eller et angreb mod den nationale sikkerhed, for så vidt som disse data på grundlag af objektive og ikke-diskriminerende forhold kan bidrage til at opklare en sådan strafbar handling eller et sådant angreb mod den nationale sikkerhed, såsom oplysninger om offeret for den strafbare handling eller om den pågældendes sociale og arbejdsmæssige omgangskreds (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 165).

89 En lovgivningsmæssig foranstaltning kan således tillade, at der pålægges udbydere af elektroniske kommunikationstjenester et påbud om hurtig lagring af trafikdata og lokaliseringsdata om navnlig personer, som et offer, før der foreligger en alvorlig trussel mod den offentlige sikkerhed, eller før der er begået en groft kriminel handling, har været i kontakt med ved hjælp af sine elektroniske kommunikationsmidler.

90 En sådan hurtig lagring kan i henhold til den praksis fra Domstolen, der er nævnt i denne doms præmis 88, og på samme betingelser som de i denne præmis anførte, ligeledes udvides til at omfatte bestemte geografiske områder, såsom de steder, hvor den omhandlede strafbare handling eller det omhandlede angreb mod den nationale sikkerhed blev begået eller planlagt. Det skal præciseres, at en sådan foranstaltning også kan omfatte trafikdata og lokaliseringsdata om det sted, hvor en person, der potentielt er offer for en groft kriminel handling, er forsvundet, på betingelse af, at denne foranstaltning og adgangen til de således lagrede data holder sig inden for grænserne af det strengt nødvendige med henblik på bekæmpelse af grov kriminalitet eller beskyttelse af den nationale sikkerhed, således som disse er angivet i præmis 164-167 i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791).

91 Det skal i øvrigt præciseres, at artikel 15, stk. 1, i direktiv 2002/58 ikke er til hinder for, at de kompetente nationale myndigheder anordner en foranstaltning om hurtig lagring allerede fra det første stadium af efterforskningen vedrørende en alvorlig trussel mod den offentlige sikkerhed eller en eventuel groft kriminel handling, dvs. fra det tidspunkt, hvor myndighederne i henhold til de relevante bestemmelser i national ret kan indlede en sådan efterforskning.

92 Hvad angår de forskellige foranstaltninger til lagring af trafikdata og lokaliseringsdata, der er nævnt i denne doms præmis 67, skal det præciseres, at disse forskellige foranstaltninger, efter den nationale lovgivers valg og inden for grænserne af det strengt nødvendige, kan finde anvendelse samtidig. Under disse omstændigheder er artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, som fortolket i retspraksis i henhold til dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), ikke til hinder for en kombination af disse foranstaltninger.

93 For det fjerde og sidste skal det fremhæves, at kravet om, at de foranstaltninger, der vedtages i henhold til artikel 15, stk. 1, i direktiv 2002/58, skal være forholdsmæssige, ifølge Domstolens faste praksis, således som denne er sammenfattet i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), indebærer, at ikke alene kravene om egnethed og nødvendighed, men også det krav, der vedrører disse foranstaltningers forholdsmæssighed i forhold til det forfulgte formål, skal være overholdt.

94 I denne sammenhæng bemærkes, at Domstolen i præmis 51 i dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238), fastslog, at selv om bekæmpelse af grov kriminalitet er af afgørende betydning for at sikre den offentlige sikkerhed, og selv om effektiviteten heraf i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker, kan et sådant mål af almen interesse imidlertid ikke, hvor grundlæggende det end er, i sig selv begrunde, at en generel og udifferentieret foranstaltning med henblik på lagring af trafikdata og lokaliseringsdata som den, der blev indført ved direktiv 2006/24, anses for nødvendig.

95 På samme måde præciserede Domstolen i præmis 145 i dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), at selv de positive forpligtelser for medlemsstaterne, der alt efter omstændighederne kan følge af chartrets artikel 3, 4 og 7, og som, således som det er anført i denne doms præmis 49, vedrører indførelsen af regler, der gør det muligt effektivt at bekæmpe strafbare handlinger, imidlertid ikke kan begrunde indgreb, der er så alvorlige som dem, en national lovgivning, der foreskriver lagring af trafikdata og lokaliseringsdata, indebærer i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, og som berører praktisk talt hele befolkningen, uden at de berørte personers data kan afsløre en forbindelse, end ikke indirekte, til det forfulgte formål.

96 I retsmødet har den danske regering anført, at de kompetente nationale myndigheder med henblik på bekæmpelse af grov kriminalitet bør kunne få adgang til trafikdata og lokaliseringsdata, som er blevet lagret generelt og udifferentieret, i overensstemmelse med retspraksis i henhold til dom af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 135-139), for at håndtere en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig.

97 Indledningsvis bemærkes, at såfremt der med henblik på bekæmpelse af grov kriminalitet gives adgang til trafikdata og lokaliseringsdata, som er blevet lagret generelt og udifferentieret, vil denne adgang komme til at afhænge af omstændigheder, som er dette formål uvedkommende, afhængigt af, om der i den pågældende medlemsstat foreligger eller ikke foreligger en alvorlig trussel mod den nationale sikkerhed som omhandlet i den foregående præmis, selv om der med hensyn til det ene formål at bekæmpe grov kriminalitet, som skal begrunde lagring og adgang til disse data, ikke er noget, der kan begrunde en forskellig behandling, især mellem medlemsstaterne.

98 Som Domstolen allerede har fastslået, kan adgang til de trafikdata og lokaliseringsdata, som udbyderne lagrer som følge af en foranstaltning vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, der skal gennemføres under fuld overholdelse af de betingelser, der følger af den retspraksis, hvori direktiv 2002/58 er blevet fortolket, i princippet kun begrundes i det mål af almen interesse, med henblik på hvilket disse udbydere er blevet pålagt at foretage denne lagring. Anderledes forholder det sig kun, såfremt det formål, der forfølges med adgangen, er vigtigere end det, der har begrundet lagringen (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 165 og 166).

99 Den danske regerings argumentation vedrører imidlertid en situation, hvor formålet med den pågældende anmodning om adgang, nemlig bekæmpelse af grov kriminalitet, har mindre betydning i hierarkiet af mål af almen interesse end det, der har begrundet lagringen, nemlig beskyttelse af den nationale sikkerhed. Såfremt der i en sådan situation blev givet adgang til de lagrede data, ville det være i strid med dette hierarki af mål af almen interesse, som er nævnt i den foregående præmis og i denne doms præmis 53, 56, 57 og 59.

100 Endvidere og navnlig kan trafikdata og lokaliseringsdata i overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 65, desuden ikke gøres til genstand for en generel og udifferentieret lagring med henblik på bekæmpelse af grov kriminalitet, og adgang til disse data kan derfor ikke begrundes i dette formål. Når disse data undtagelsesvis er blevet lagret generelt og udifferentieret med henblik på at beskytte den nationale sikkerhed mod en trussel, som må anses for at være reel og aktuel eller forudsigelig, under de betingelser, som er omhandlet i denne doms præmis 58, kan de kompetente nationale myndigheder på området for strafferetlig efterforskning ikke få adgang til disse data i forbindelse med strafferetlig forfølgning, idet forbuddet mod at foretage en sådan lagring med henblik på bekæmpelse af grov kriminalitet, jf. præmis 65 ovenfor, herved vil blive berøvet sin effektive virkning.

101 Henset til samtlige ovenstående betragtninger skal det første, det andet og det fjerde spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver

– generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige

– generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og

– mulighed for, ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over,

Det tredje spørgsmål

102 Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den centraliserede behandling af anmodninger om adgang til lagrede data, der indgives af politiet i forbindelse med efterforskning og retsforfølgning af alvorlige strafbare handlinger, påhviler en politiembedsmand, bistået af en enhed oprettet inden for politiet, der ved udførelsen af sine opgaver har en vis uafhængighed, og hvis afgørelser efterfølgende kan underkastes domstolsprøvelse.

103 Indledningsvis bemærkes, at selv om det tilkommer national ret at fastsætte de betingelser, hvorunder udbydere af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de data, som de råder over, skal en national lovgivning, for at opfylde kravet om proportionalitet, jf. denne doms præmis 54, fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug (jf. i denne retning dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 48 og den deri nævnte retspraksis).

104 En national lovgivning, der regulerer de kompetente myndigheders adgang til de lagrede trafikdata og lokaliseringsdata, og som er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, kan navnlig ikke begrænse sig til at opstille et krav om, at myndighedernes adgang til oplysninger skal opfylde det med denne lovgivning forfulgte formål, men skal tillige fastsætte de materielle og processuelle betingelser for denne brug (dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 49 og den deri nævnte retspraksis).

105 For så vidt som en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige, skal den pågældende nationale lovgivning således være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til de omhandlede data. I denne henseende kan der i forbindelse med målet om bekæmpelse af kriminalitet principielt kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse. I særlige situationer, såsom dem, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed, kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed (dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 50 og den deri nævnte retspraksis).

106 Med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er det afgørende, at de kompetente nationale myndigheders adgang til de lagrede data er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller enheds afgørelse skal træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning (dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 51 og den deri nævnte retspraksis).

107 Denne forudgående kontrol kræver bl.a., at den domstol eller uafhængige administrative enhed, der har til opgave at foretage den, har alle de beføjelser og frembyder alle de garantier, der er nødvendige for at sikre en afvejning af de forskellige berørte legitime interesser og rettigheder. Hvad nærmere bestemt angår en strafferetlig efterforskning kræver en sådan kontrol, at denne domstol eller denne enhed er i stand til at sikre en rimelig ligevægt mellem dels de legitime interesser, der er forbundet med, hvad der er nødvendigt af hensyn til efterforskningen i forbindelse med bekæmpelsen af kriminalitet, dels den grundlæggende ret til respekt for privatlivet og beskyttelsen af personoplysninger for så vidt angår de personer, hvis oplysninger er berørt af adgangen (dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 52).

108 Når denne kontrol ikke foretages af en domstol, men af en uafhængig administrativ enhed, skal denne have en status, der gør det muligt for den at udføre sine opgaver på en objektiv og upartisk måde og i denne forbindelse at handle uden udefrakommende indflydelse. Det krav om uafhængighed, som den enhed, der har til opgave at udføre den forudgående kontrol, skal opfylde, indebærer således, at denne enhed skal være udenforstående i forhold til den myndighed, der anmoder om adgang til dataene, således at den nævnte enhed er i stand til at foretage denne kontrol på en objektiv og upartisk måde uden nogen form for udefrakommende indflydelse. Navnlig inden for det strafferetlige område indebærer kravet om uafhængighed, at den myndighed, der har til opgave at foretage denne forudgående kontrol, for det første ikke er involveret i den pågældende strafferetlige efterforskning og for det andet er neutral i forhold til parterne i straffesagen (jf. i denne retning dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 53 og 54).

109 Domstolen har således bl.a. fastslået, at en anklagemyndighed, der leder efterforskningen, og som i givet fald udøver påtalekompetencen, ikke kan anerkendes som udenforstående i forhold til de berørte legitime interesser, eftersom anklagemyndigheden ikke har til opgave uafhængigt at afgøre en retssag, men eventuelt som den part, der udøver påtalekompetencen i straffesagen, at indbringe sagen for den kompetente ret. En sådan anklagemyndighed er således ikke i stand til at foretage den forudgående kontrol af anmodninger om adgang til lagrede data (jf. i denne retning dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 55 og 57).

110 Endelig skal den uafhængige kontrol, som kræves i henhold til artikel 15, stk. 1, i direktiv 2002/58, foretages forud for enhver adgang til de omhandlede data, undtagen i behørigt begrundede hastende tilfælde, i hvilket tilfælde kontrollen skal foretages hurtigst muligt. En senere kontrol vil nemlig ikke gøre det muligt at opfylde formålet med den forudgående kontrol, der består i at forhindre, at der gives adgang til de omhandlede data på en måde, der går ud over, hvad der er strengt nødvendigt (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 189, og af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 58).

111 I det foreliggende tilfælde fremgår det først og fremmest af anmodningen om præjudiciel afgørelse, at loven af 2011 tildeler en politiembedsmand, der mindst har rang af politiinspektør, beføjelse til at foretage den forudgående kontrol af anmodninger om adgang til data indgivet af politiets efterforskningstjenester og til at anmode udbydere af elektroniske kommunikationstjenester om at give denne embedsmand de data, som de har lagret. For så vidt som denne embedsmand ikke er udenforstående i forhold til disse tjenester, opfylder den pågældende ikke de krav om uafhængighed og upartiskhed, der er nævnt i denne doms præmis 108, uanset at vedkommende bistås ved denne opgave af en politienhed, i det foreliggende tilfælde TLU, som nyder en vis grad af selvstændighed ved udførelsen af sine opgaver.

112 Dernæst fremgår det – selv om det er korrekt, at loven af 2011 fastsætter mekanismer til efterfølgende kontrol af den kompetente politiembedsmands afgørelse i form af en klageprocedure og en procedure ved en retsinstans, der har til opgave at efterprøve anvendelsen af den nævnte lovs bestemmelser – af den retspraksis, der er nævnt i denne doms præmis 110, at en efterfølgende kontrol ikke kan træde i stedet for det krav om en uafhængig og, undtagen i behørigt begrundede hastetilfælde, forudgående kontrol, som er nævnt i denne doms præmis 106.

113 Endelig fastsætter loven af 2011 ikke objektive kriterier, der præcist definerer de betingelser og omstændigheder, hvorunder de nationale myndigheder skal have adgang til dataene, idet den politiembedsmand, der har ansvaret for behandlingen af anmodninger om adgang til de lagrede data, således som Irland bekræftede i retsmødet, er enekompetent til at vurdere mistanken mod de berørte personer og nødvendigheden af at få adgang til dataene om disse.

114 Følgelig skal det tredje spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den centraliserede behandling af anmodninger om adgang til data lagret af udbydere af elektroniske kommunikationstjenester, der indgives af politiet i forbindelse med efterforskning og retsforfølgning af alvorlige strafbare handlinger, påhviler en politiembedsmand, bistået af en enhed oprettet inden for politiet, der ved udførelsen af sine opgaver har en vis uafhængighed, og hvis afgørelser efterfølgende kan underkastes domstolsprøvelse.

Det femte og det sjette spørgsmål

115 Med det femte og det sjette spørgsmål, der skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om EU-retten skal fortolkes således, at en national ret tidsmæssigt kan begrænse virkningerne af en ugyldighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, på grund af denne lovgivnings uforenelighed med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartret.

116 Det fremgår af de oplysninger, som den forelæggende ret har fremlagt, at den i hovedsagen omhandlede nationale lovgivning, nemlig loven af 2011, blev vedtaget med henblik på gennemførelse i national ret af direktiv 2006/24, der efterfølgende blev kendt ugyldigt af Domstolen i dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238).

117 Den forelæggende ret har desuden anført, at selv om det påhviler den ret, der behandler straffesagen, at undersøge, om de beviser, der er baseret på data, som er lagret i henhold til loven af 2011, og som gøres gældende over for G.D. i forbindelse med straffesagen, er antagelige, er det ikke desto mindre den forelæggende ret, der i den civile sag skal træffe afgørelse om gyldigheden af de omhandlede bestemmelser i denne lov og om de tidsmæssige virkninger af en konstatering af, at de er ugyldige. Selv om det eneste spørgsmål, som den forelæggende ret skal afgøre, således er, som bestemmelserne i loven af 2011 er gyldige, finder den det imidlertid nødvendigt at forelægge Domstolen spørgsmålet om betydningen af en eventuel konstatering af ugyldighed for antageligheden af de beviser, der er fremskaffet ved hjælp af den generelle og udifferentierede lagring af data, som denne lov har tilladt.

118 Indledningsvis bemærkes, at ifølge princippet om EU-rettens forrang har EU-retten en fortrinsstilling i forhold til medlemsstaternes nationale ret. Dette princip medfører derfor en forpligtelse for alle instanser i medlemsstaterne til at sikre, at de forskellige EU-retlige bestemmelser gennemføres fuldt ud, idet medlemsstaternes nationale ret ikke kan ændre den virkning, som disse forskellige bestemmelser tillægges på disse staters område. Den nationale ret, der inden for sit kompetenceområde skal anvende EU-retlige bestemmelser, har i henhold til dette princip pligt til – såfremt det ikke er muligt at anlægge en fortolkning af den nationale lovgivning, der er i overensstemmelse med de EU-retlige krav – at sikre disse bestemmelsers fulde virkning, idet den om fornødent af egen drift skal undlade at anvende enhver modstående bestemmelse i national lovgivning, endog en senere national bestemmelse, uden at den behøver at anmode om eller afvente en forudgående ophævelse af denne bestemmelse ad lovgivningsvejen eller ved noget andet forfatningsmæssigt middel (jf. i denne retning dom af 15.7.1964, Costa, 6/64, EU:C:1964:66, Sml. 1954-1964, s. 531, af 19.11.2019, A.K. m.fl. (Den øverste domstols disciplinærafdelings uafhængighed), C-585/18, C-624/18 og C-625/18, EU:C:2019:982, præmis 157, 158 og 160, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 214 og 215).

119 Det er alene Domstolen, der undtagelsesvis og af tvingende retssikkerhedsmæssige hensyn kan træffe bestemmelse om en midlertidig udsættelse af den fortrængende virkning, som en EU-bestemmelse har i forhold til national ret, der er i strid hermed. Der kan alene træffes bestemmelse om en sådan tidsmæssig begrænsning af virkningerne af Domstolens fortolkning af EU-retten i selve den dom, der afgør fortolkningsspørgsmålet. Hvis de nationale retsinstanser havde beføjelse til at give nationale bestemmelser forrang for EU-retten, som disse bestemmelser strider mod, også selv om det blot er midlertidigt, ville dette være til skade for EU-rettens forrang og ensartede anvendelse (dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 216 og 217 og den deri nævnte retspraksis).

120 Domstolen har ganske vist i en sag, der omhandlede spørgsmålet om, hvorvidt foranstaltninger, der var vedtaget i strid med den forpligtelse, som er fastsat i EU-retten, til at foretage en forudgående vurdering af et projekts indvirkning på miljøet og på en beskyttet lokalitet, fastslået, at en national domstol, hvis national ret tillader det, undtagelsesvis kan opretholde virkningerne af sådanne foranstaltninger, hvis denne opretholdelse er begrundet ved tvingende hensyn knyttet til nødvendigheden af at fjerne en reel og alvorlig trussel om afbrydelse af forsyningen med elektricitet i den pågældende medlemsstat, som ikke kan imødegås med andre midler og alternativer, herunder navnlig inden for rammerne af det indre marked, idet den nævnte opretholdelse kun kan omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe denne ulovlighed (jf. i denne retning dom af 29.7.2019, Inter-Environnement Wallonie og Bond Beter Leefmilieu Vlaanderen, C-411/17, EU:C:2019:622, præmis 175, 176, 179 og 181).

121 En tilsidesættelse af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, kan i modsætning til tilsidesættelsen af en proceduremæssig forpligtelse, såsom den forudgående vurdering af virkningerne af et projekt inden for det særlige område for miljøbeskyttelse, imidlertid ikke afhjælpes ved en procedure, der kan sammenlignes med den procedure, som er nævnt i den foregående præmis (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 219).

122 Opretholdelsen af virkningerne af en national lovgivning såsom loven af 2011 vil nemlig indebære, at denne lovgivning fortsat vil pålægge udbydere af elektroniske kommunikationstjenester forpligtelser, der er i strid med EU-retten, og som medfører alvorlige indgreb i de grundlæggende rettigheder, der tilkommer de personer, hvis oplysninger er blevet lagret (jf. analogt dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 219).

123 Den forelæggende ret kan derfor ikke tidsmæssigt begrænse virkningerne af en ugyldighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til den i hovedsagen omhandlede nationale lovgivning (jf. analogt dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 220).

124 Som generaladvokaten i det væsentlige har anført i punkt 75 i forslaget til afgørelse, er det i denne henseende uden betydning, at den nationale lovgivning blev vedtaget med henblik på at gennemføre direktiv 2006/24 i national ret, eftersom gyldigheden af denne lovgivning som følge af det forhold, at Domstolen har kendt dette direktiv ugyldigt – med virkning fra det tidspunkt, hvor det trådte i kraft (jf. i denne retning dom af 8.2.1996, FMC m.fl., C-212/94, EU:C:1996:40, præmis 55) – skal bedømmes af den forelæggende ret i lyset af direktiv 2002/58 og chartret som fortolket af Domstolen.

125 Hvad nærmere bestemt angår den fortolkning af direktiv 2002/58 og chartret, som Domstolen har anlagt i bl.a. dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970) og af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), bemærkes, at det følger af fast retspraksis, at den fortolkning, som Domstolen anlægger af en EU-retlig regel under udøvelse af sin kompetence i henhold til artikel 267 TEUF, belyser og præciserer betydningen og rækkevidden af den pågældende regel, således som den skal forstås og anvendes, henholdsvis burde have været forstået og anvendt fra sin ikrafttræden. Heraf følger, at den således fortolkede regel kan og skal anvendes af retten i forbindelse med retsforhold, der er stiftet og består, før der afsiges dom vedrørende fortolkningsanmodningen, såfremt betingelserne for at forelægge de kompetente domstole en tvist om anvendelsen af den nævnte regel i øvrigt er opfyldt (dom af 16.9.2020, Romenergo og Aris Capital, C-339/19, EU:C:2020:709, præmis 47 og den deri nævnte retspraksis).

126 I denne henseende skal det tillige præciseres, at der ikke blev foretaget en tidsmæssig begrænsning af virkningerne af den anlagte fortolkning i dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970), og af 6. oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791), og i overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 119, skal en sådan begrænsning således ikke foretages i en senere dom afsagt af Domstolen.

127 Hvad endelig angår betydningen af en eventuel konstatering af, at loven af 2011 er uforenelig med direktiv 2002/58, sammenholdt med chartret, for antageligheden af de beviser, der er gjort gældende mod G.D. i forbindelse med straffesagen, er det tilstrækkeligt at henvise til Domstolens praksis herom og navnlig til de principper, der er nævnt i præmis 41-44 i dom af 2. marts 2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation) (C-746/18, EU:C:2021:152), hvoraf det følger, at spørgsmålet om antageligheden af beviser i overensstemmelse med princippet om medlemsstaternes procesautonomi henhører under national ret, dog under overholdelse af navnlig ækvivalensprincippet og effektivitetsprincippet.

128 Henset til ovenstående betragtninger skal det femte og det sjette spørgsmål besvares med, at EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ugyldighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, på grund af denne lovgivnings uforenelighed med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartret. Spørgsmålet om antageligheden af beviser, der er fremskaffet ved hjælp af en sådan lagring, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af navnlig ækvivalensprincippet og effektivitetsprincippet.

Sagsomkostninger

129 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder er derimod ikke til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver

– generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige

– generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og

– mulighed for, ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over,

2) Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den centraliserede behandling af anmodninger om adgang til data lagret af udbydere af elektroniske kommunikationstjenester, der indgives af politiet i forbindelse med efterforskning og retsforfølgning af alvorlige strafbare handlinger, påhviler en politiembedsmand, bistået af en enhed oprettet inden for politiet, der ved udførelsen af sine opgaver har en vis uafhængighed, og hvis afgørelser efterfølgende kan underkastes domstolsprøvelse.

3) EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ugyldighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, på grund af denne lovgivnings uforenelighed med artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med chartret om grundlæggende rettigheder. Spørgsmålet om antageligheden af beviser, der er fremskaffet ved hjælp af en sådan lagring, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af navnlig ækvivalensprincippet og effektivitetsprincippet.

Underskrifter

* Processprog: engelsk.