FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. CAMPOS SÁNCHEZ-BORDONA
fremsat den 18. november 2021(1)
Forenede sager C-793/19 og C-794/19
Bundesrepublik Deutschland
mod
SpaceNet AG (C-793/19)
Telekom Deutschland GmbH (C-794/19)
(anmodninger om præjudiciel afgørelse indgivet af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland))
»Præjudiciel forelæggelse – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58/EF – artikel 15, stk. 1 – artikel 4, stk. 2, TEU – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 6, 7, 8 og 11 samt artikel 52, stk. 1 – generel og udifferentieret lagring af forbindelsesdata med henblik på at bekæmpe alvorlige strafbare handlinger eller forhindre en konkret risiko for den nationale sikkerhed«
1. Disse anmodninger om præjudiciel afgørelse samt den tilsvarende anmodning i sag C-140/20 (2) fremhæver atter den bekymring, der er opstået i nogle medlemsstater som følge af Domstolens praksis om lagring af og adgang til personoplysninger, der genereres i den elektroniske kommunikationssektor.
2. I forslaget til afgørelse i de forenede sager C-511/18 og C-512/18, La Quadrature du Net m.fl. (3), og i sag C-520/18, Ordre des barreaux francophones et germanophone m.fl. (4), fremhævede jeg følgende milepæle på daværende tidspunkt i denne praksis:
– dom af 8. april 2014, Digital Rights Ireland m.fl. (5), hvorved Domstolen erklærede direktiv 2006/24/EF (6) ugyldigt, for så vidt som det tillod et uforholdsmæssigt indgreb i de rettigheder, som er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)
– dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (7), hvori Domstolen fastslog, at artikel 15, stk. 1, i direktiv 2002/58/EF (8) er til hinder for en national lovgivning, der foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet
– dom af 2. oktober 2018, Ministerio Fiscal (9), der bekræftede fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 og præciserede proportionalitetsprincippets betydning i denne henseende.
3. I 2018 henvendte en række retter fra enkelte medlemsstater sig til Domstolen via respektive anmodninger om præjudiciel afgørelse, hvori de gav udtryk for tvivl om, hvorvidt disse domme (af 2014, 2016 og 2018) kan fratage de statslige myndigheder et instrument, der er nødvendigt for at beskytte den nationale sikkerhed og bekæmpe kriminalitet og terrorisme.
4. Fire af disse anmodninger om præjudiciel afgørelse gav anledning til Privacy International-dommen (10) og dommen i sagen La Quadrature du Net m.fl. (11), som begge blev afsagt den 6. oktober 2020 og i det væsentlige bekræftede praksis efter Tele2 Sverige-dommen, om end de nævnte domme indeholdt en række supplerende nuanceringer.
5. På grund af deres oprindelse (Domstolens Store Afdeling), deres indhold og deres bestræbelser på, i dialog med de forelæggende retter, at gøre nøje rede for de grunde, der under alle omstændigheder begrunder de deri anførte synspunkter, kunne det forventes, at disse to »sammenfattende« domme af 6. oktober 2020 havde afgjort debatten. Enhver anden anmodning om præjudiciel afgørelse vedrørende det samme emne ville således skulle besvares ved en begrundet kendelse som omhandlet i artikel 99 i Domstolens procesreglement.
6. Inden den 6. oktober 2020 var der imidlertid indgået yderligere tre anmodninger om præjudiciel afgørelse til Domstolen (de to anmodninger, der er forenet i denne sag, og anmodningen i sag C-140/20), hvis indhold atter rejste tvivl om den retspraksis, der er fastlagt med hensyn til artikel 15, stk. 1, i direktiv 2002/58.
7. Domstolen oplyste de forelæggende retter om dommene af 6. oktober 2020 og spurgte, om de ønskede at trække deres anmodninger om præjudiciel afgørelse tilbage. Eftersom de valgte at fastholde dem, således som det vil fremgå nedenfor (12), er det blevet besluttet ikke at anvende procesreglementets artikel 99, samt at Domstolens Store Afdeling skal besvare de pågældende præjudicielle spørgsmål.
I. Retsforskrifter
A. EU-retten. Direktiv 2002/58
8. Artikel 5 (»Kommunikationshemmelighed«), stk. 1, er affattet som følger:
»Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.«
9. Det bestemmes i artikel 6 (»Trafikdata«):
»1. Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.
2. Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.
[…]«
10. Artikel 15 (»Anvendelsesområdet for visse bestemmelser i direktiv 95/46/EF«) (13), stk. 1, bestemmer følgende:
»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«
B. National ret
1. Telekommunikationsgesetz (telekommunikationsloven, herefter »TKG«)
11. § 113a, stk. 1, foreskriver:
»De i § 113b-113g definerede forpligtelser vedrørende lagring, anvendelse og sikkerhed med hensyn til trafikdata gør sig gældende for operatører, der leverer offentligt tilgængelige telekommunikationstjenester til slutbrugere.«
12. § 113b bestemmer:
»(1) De i § 113a nævnte operatører skal lagre dataene på det nationale område på følgende måde:
1. i ti uger, hvis der er tale om de i stk. 2 og 3 omhandlede data.
2. i fire uger, hvis der er tale om de i stk. 4 omhandlede lokaliseringsdata.
(2) leverandører af offentligt tilgængelige telefontjenester lagrer
1. telefonnummeret eller en anden identitet for den, der ringer op, og den forbindelse, der ringes til, samt ved om- og viderestilling enhver anden involveret forbindelse
2. dato og klokkeslæt for begyndelse og afslutning af forbindelsen med angivelse af den anvendte tidszone
3. oplysninger om den benyttede tjeneste, hvis der i forbindelse med telefontjenesten kan benyttes forskellige tjenester
4. for mobile telefontjenester endvidere
a) den internationale identitet for mobile abonnenter for den, der ringer op, og den forbindelse, der ringes til
b) den internationale identitet for det terminaludstyr, der ringer op, og det der ringes til
c) dato og klokkeslæt for den første aktivering af tjenesten under angivelse af den anvendte tidszone, hvis der er blevet betalt tjenester på forhånd
5. for internettelefontjenester tillige IP-adresserne (internetprotokol) for den forbindelse, der ringer op, og den forbindelse, der ringes til, og tildelte identifikationsnumre.
Stk. 1 finder tilsvarende anvendelse
1. i forbindelse med formidling af sms-, multimedie- eller lignende beskeder; i så fald erstattes de i stk. 1, nr. 2, nævnte oplysninger med tidspunkterne for afsendelse og modtagelse af beskeden
2. på ubesvarede eller forgæves opkald, der skyldes, at netværkssystemet har grebet ind […]
(3) leverandører af offentligt tilgængelige internetadgangstjenester lagrer
1. den IP-adresse, som abonnenten er blevet tildelt med henblik på brug af internettet
2. tydelig identifikation af den forbindelse, der giver adgang til internettet, samt det tildelte identifikationsnummer
3. dato og klokkeslæt for begyndelse og afslutning af brugen af internettet fra den tildelte IP-adresse med angivelse af den anvendte tidszone.
(4) Ved brug af mobile telefontjenester lagres betegnelsen for de mobiltelefoner, der blev anvendt ved forbindelsens begyndelse af den, der foretager opkaldet, og den, der modtager det. Hvad angår offentligt tilgængelige internetadgangstjenester lagres der i forbindelse med mobilt brug betegnelsen for de mobiltelefoner, der blev anvendt ved begyndelsen af internetforbindelsen. Der bør ligeledes lagres data, der gør det muligt at finde den geografiske placering og retningerne for den maksimale stråling fra de antenner, som betjener den pågældende mobiltelefon.
(5) Kommunikationens indhold, data om besøgte websteder og data fra e-mailtjenester kan ikke lagres i overensstemmelse med denne bestemmelse.
(6) Data, der ligger til grund for de i § 99, stk. 2, omhandlede forbindelser, kan ikke lagres i overensstemmelse med denne bestemmelse. Dette gør sig tilsvarende gældende for telefonkommunikation fra de i § 99, stk. 2, omhandlede enheder. § 99, stk. 2, andet til syvende punktum, finder tilsvarende anvendelse[ (14)].
[…]«
13. § 113c er affattet således:
»(1) Data, der lagres i henhold til § 113b, kan
1. overføres til en retshåndhævende myndighed, når denne anmoder om overførsel under henvisning til en retlig bestemmelse, der bemyndiger den pågældende myndighed til at samle de i § 113b omhandlede data med henblik på bekæmpelse af særligt alvorlige strafbare handlinger
2. overføres til en sikkerhedsmyndighed på delstatsniveau, når denne anmoder om overførsel under henvisning til en retlig bestemmelse, der bemyndiger den pågældende myndighed til at samle de i § 113b omhandlede data med henblik på at afværge en konkret risiko for en persons liv, helbred eller frihed eller for forbundsstatens eller en delstats beståen
3. anvendes af en leverandør af offentligt tilgængelige telekommunikationstjenester med henblik på meddelelse af oplysninger i henhold til § 113, stk. 1, tredje punktum.
(2) Data, der lagres i overensstemmelse med § 113b, kan ikke anvendes af operatører, der er underlagt de i § 113a, stk. 1, fastsatte forpligtelser, til andre end de i stk. 1 omhandlede formål.
[…]«
14. § 113d fastsætter:
»Adressaten for den i § 113a, stk. 1, fastsatte forpligtelse skal ved hjælp af tekniske og organisatoriske foranstaltninger, der anvender den seneste teknologi, sikre, at data, der lagres i overensstemmelse med § 113b, stk. 1, som følge af forpligtelsen til lagring, er beskyttet mod uautoriseret kontrol og brug. Disse foranstaltninger omfatter navnlig:
1. anvendelse af en særligt sikker krypteringsprocedure
2. lagring i forskellige lagringsinfrastrukturer, der er adskilt fra de infrastrukturer, der anvendes til løbende driftsmæssige funktioner
3. lagring, der omfatter et øget niveau af beskyttelse mod cyberangreb, i ikke-forbundne it-systemer til databehandling
4. begrænsning af adgangen til anlæg, der anvendes til databehandling, til personer, der har en særlig bemyndigelse fra den aktør, der er ansvarlig for at opfylde forpligtelsen, og
5. en forpligtelse til, at der ved adgangen til dataene mindst deltager to personer, der har en særlig bemyndigelse fra den aktør, der er ansvarlig for at opfylde forpligtelsen.«
15. § 113e har følgende ordlyd:
»(1) Den aktør, der er ansvarlig for at opfylde den i § 113a, stk. 1, fastsatte forpligtelse, skal sikre, at der med henblik på kontrol af databeskyttelse gives adgang, navnlig til læsning, kopiering, ændring, sletning og låsning, til data, der lagres i henhold til § 113b, stk. 1, i overensstemmelse med forpligtelsen til lagring. Følgende skal registreres
1. tidspunktet for adgangen
2. de personer, der tilgår dataene
3. adgangens formål og karakter.
(2) De tilgåede data kan ikke anvendes til andre formål end til kontrol af databeskyttelsen.
(3) Den aktør, der er ansvarlig for at opfylde den i § 113a, stk. 1, fastsatte forpligtelse, skal sikre, at de tilgåede data slettes efter et år.«
2. Strafprozessordnung (strafferetsplejeloven)
16. § 100g bestemmer:
»[…]
(2) Hvis det på grund af bestemte forhold mistænkes, at en person, i egenskab af ophavsmand eller medskyldig, har begået en af de særligt alvorlige strafbare handlinger, der er nævnt i andet punktum, eller den pågældende i de tilfælde, hvor forsøg på en strafbar handling kan straffes, har forsøgt at begå en sådan handling, og såfremt den strafbare handling også er særligt alvorlig i det konkrete tilfælde, kan trafikdata, der lagres i overensstemmelse med [TKG’s] §113b, anvendes, hvis det er uforholdsmæssigt vanskeligt eller umuligt at efterforske de faktiske omstændigheder eller at lokalisere den undersøgte person med andre midler, eller hvis indsamlingen af data står i forhold til sagens betydning.
[…]
(4) Der tillades ikke indsamling af trafikdata i henhold til stk. 2 […] der kan føre til oplysninger, som den berørte person kan nægte at afgive forklaring om […]«
17. § 101a, stk. 1, betinger indsamlingen af trafikdata i henhold til strafferetsplejelovens § 100g af, at der foreligger en retslig tilladelse. I henhold til samme lovs § 101a, stk. 2, skal retsafgørelsen tage hensyn til nødvendigheden og relevansen af foranstaltningen i det konkrete tilfælde, og deltagerne i kommunikationen skal underrettes om, at foranstaltningen er blevet truffet (strafferetsplejelovens § 101, stk. 6).
II. De faktiske omstændigheder, hovedsagen og de præjudicielle spørgsmål
18. SpaceNet AG og Telekom Deutschland GmbH er selskaber, der leverer offentligt tilgængelige internetadgangstjenester i Forbundsrepublikken Tyskland.
19. Disse to selskaber har anlagt sag ved Verwaltungsgericht (forvaltningsdomstol, Tyskland), hvori de har anfægtet den forpligtelse, som de ved § 113a, stk. 1, sammenholdt med § 113b, i TKG er pålagt til fra den 1. juli 2017 at lagre telekommunikationstrafikdata vedrørende virksomhedens kunder.
20. De to selskaber fik begge medhold i første instans, hvorefter forbundsnetagenturet iværksatte kassationsappeller (revisionsappeller) ved Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager), som inden sin domsafsigelse har besluttet at forelægge Domstolen nedenstående præjudicielle spørgsmål i begge sager:
»Skal artikel 15 i direktiv 2002/58/EF i lyset af artikel 7, 8 og 11 samt artikel 52, stk. 1, i [chartret] på den ene side og artikel 6 i [chartret] og artikel 4 [TEU] på den anden side fortolkes således, at den er til hinder for en national bestemmelse, som forpligter udbyderne af offentligt tilgængelige elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata for slutbrugerne af disse tjenester, når
– denne forpligtelse ikke forudsætter nogen specifik anledning i territorial, tidsmæssig eller geografisk henseende
– genstanden for pligten til at lagre data i forbindelse med levering af offentligt tilgængelige telefontjenester – herunder formidling af sms-, multimedie- eller lignende beskeder samt ubesvarede eller forgæves opkald – er følgende data:
– telefonnummeret eller en anden identitet for den, der ringer op, og den forbindelse, der ringes til, samt ved om- og viderestilling enhver anden involveret forbindelse
– dato og klokkeslæt for begyndelse og afslutning af forbindelsen henholdsvis – i forbindelse med formidling af sms-, multimedie- eller lignende beskeder – tidspunkterne for afsendelse og modtagelse af beskeden med angivelse af den anvendte tidszone
– oplysninger om den benyttede tjeneste, hvis der i forbindelse med telefontjenesten kan benyttes forskellige tjenester
– for mobile telefontjenester endvidere
– den internationale identitet for mobile abonnenter for den, der ringer op, og den forbindelse, der ringes til
– den internationale identitet for det terminaludstyr, der ringer op, og [det] der ringes til
– dato og klokkeslæt for den første aktivering af tjenesten under angivelse af den anvendte tidszone, hvis der er blevet betalt tjenester på forhånd
– betegnelserne for de radioceller, som blev benyttet af den forbindelse, der ringer op, og den forbindelse, der ringes til, ved forbindelsens begyndelse
– for internettelefontjenester tillige internetprotokoladresserne for den forbindelse, der ringer op, og den forbindelse, der ringes til, og tildelte brugeridentiteter
– genstanden for pligten til lagring i forbindelse med levering af offentligt tilgængelige internetadgangstjenester er følgende data:
– den internetprotokoladresse, som er tildelt abonnenten til en internetbenyttelse
– en entydig identitet for den forbindelse, gennem hvilken internetbenyttelsen sker, samt en tildelt brugeridentitet
– dato og klokkeslæt for internetbenyttelsens begyndelse og ophør under den tildelte internetprotokoladresse med angivelse af den anvendte tidszone
– for mobil benyttelse betegnelsen for den radiocelle, som benyttes ved internetforbindelsens begyndelse
– følgende data ikke må lagres:
– kommunikationens indhold
– data om besøgte internetsider
– data fra elektroniske posttjenester
– data, som er baseret på forbindelser til eller fra bestemte personers, myndigheders og organisationers forbindelser inden for sociale eller kirkelige områder
– lagringens varighed for lokaliseringsdata, dvs. betegnelsen for den benyttede radiocelle, udgør fire uger, og for de øvrige data ti uger
– der er sikret en effektiv beskyttelse af de lagrede data mod risici for misbrug samt mod enhver uberettiget adgang, og
– de lagrede data må kun anvendes til at forfølge særligt grove straffelovsovertrædelser og til at afværge en konkret fare for en persons liv og helbred eller frihed eller for forbundsstatens eller en delstats beståen, med undtagelse af den internetprotokoladresse, som er tildelt abonnenten til en internetbenyttelse, og som det er tilladt at anvende i forbindelse med en stamdataoplysning (»Bestandsdatenauskunft«) med henblik på forfølgelse af enhver form for strafbare handlinger, for at afværge en fare for den offentlige sikkerhed og orden samt for at opfylde efterretningstjenesternes opgaver?«
21. Ifølge den forelæggende ret blev lovgivningen om den omtvistede forpligtelse ændret ved en lov af 10. december 2015 (15), som det var nødvendigt at vedtage efter:
– dom afsagt af Bundesverfassungsgericht (forbundsdomstol i forfatningsretlige sager) den 2. marts 2010 (16), hvorved de tidligere bestemmelser, som regulerede lagring af data, blev erklæret for ugyldige, og
– erklæringen, hvorefter direktiv 2006/24, som disse bestemmelser tjente til gennemførelse af, var ugyldigt.
22. Den forelæggende ret er af den opfattelse, at den omtvistede forpligtelse til lagring begrænser rettighederne i henhold til artikel 5, stk. 1, artikel 6, stk. 1, og artikel 9, stk. 1, i direktiv 2002/58. Denne begrænsning er efter den forelæggende rets opfattelse kun begrundet, hvis den kan støttes på artikel 15, stk. 1, i det nævnte direktiv.
23. Ifølge den forelæggende ret kan den omtvistede forpligtelse, på trods af retspraksis efter Tele2 Sverige-dommen, støttes på artikel 15, stk. 1, i direktiv 2002/58, eftersom
– de gældende nationale bestemmelser ikke kræver lagring af samtlige telekommunikationstrafikdata for alle abonnenter og registrerede brugere med hensyn til alle elektroniske kommunikationsmidler
– disse bestemmelser har forkortet lagringsperioden markant (til højst ti uger) i forhold til den lagringsperiode, der var fastsat i de lovgivninger, der blev behandlet i Tele2 Sverige-dommen, og den i direktiv 2006/24 omhandlede lovgivning, hvilket gør det mere vanskeligt at udarbejde profiler
– der er blevet indført strenge begrænsninger med hensyn til beskyttelsen af de lagrede data samt adgangen til og anvendelsen af dem
– lovgiver blot har efterkommet den pligt til at handle, som følger af retten til sikkerhed (chartrets artikel 6) (17).
– Hvis en lagring af data »uden anledning« (18) generelt ikke kan støttes på artikel 15, stk. 1, i direktiv 2002/58 (og det følgelig ikke kommer an på de konkrete ordninger vedrørende de omfattede kommunikationsmidler, kategorierne af lagrede data, lagringens varighed, betingelserne for adgang til de lagrede data og beskyttelsen mod risici for misbrug), begrænses de nationale lovgiveres handlemuligheder væsentligt på et område inden for strafforfølgelse og offentlig sikkerhed, som i henhold til artikel 4, stk. 2, tredje punktum, TEU fortsat hører under de enkelte medlemsstaters enekompetence.
– Der skal skabes sammenhæng mellem de rettigheder, der er forankret i chartret, og de tilsvarende rettigheder, som er garanteret ved den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (herefter »EMRK«) som fortolket af Den Europæiske Menneskerettighedsdomstol (herefter »Menneskerettighedsdomstolen«), uden at dette berører EU-rettens og Domstolens selvstændighed.
III. Retsforhandlingerne for Domstolen
24. Anmodningerne om præjudiciel afgørelse indgik til Domstolen den 29. oktober 2019.
25. SpaceNet, Telekom Deutschland, den tyske, den danske, den spanske, den estiske, den finske og den franske regering, Irland, den nederlandske, den polske og den svenske regering samt Kommissionen har afgivet skriftlige indlæg.
26. Da den forelæggende ret blev anmodet om at tage stilling til, om den eventuelt ville trække det præjudicielle spørgsmål tilbage efter dommen i sagen La Quadrature du Net, fastslog den den 13. januar 2021, at den ønskede at fastholde det sit spørgsmål, eftersom det ikke kunne anses for at være besvaret som følge af den nævnte dom.
27. Retsmødet, der blev afholdt sammen med retsmødet i den konnekse sag C-140/20, blev afholdt den 13. september 2021 med deltagelse af de aktører, der har afgivet skriftlige indlæg i denne sag, samt forbundsnetagenturet og Den Europæiske Tilsynsførende for Databeskyttelse.
IV. Bedømmelse
A. Indledende betragtninger
28. Behandlingen af disse to anmodninger om præjudiciel afgørelse kan foregå ved at analysere dem, således som de blev forelagt oprindeligt eller ved fortrinsvis at undersøge de betragtninger, som den forelæggende ret har anført i sit svar af 13. januar 2021 til Domstolen som begrundelse for at fastholde det præjudicielle spørgsmål efter at være blevet underrettet om dommen i sagen La Quadrature du Net.
29. Selv om jeg kortfattet vil behandle de mest relevante aspekter af de oprindelige anmodninger om præjudiciel afgørelse, vil jeg fokusere på bedømmelsen af grundene til, at Domstolens indgriben efter den forelæggende rets opfattelse fortsat er relevant. Disse grunde støtter sig nærmere bestemt på den forudsætning, at den grundlæggende lovgivningsmæssige situation adskiller sig fra den, der blev undersøgt i dommen i sagen La Quadrature du Net.
30. I sin meddelelse af 13. januar 2021 fremførte den forelæggende ret følgende argumenter:
– Forskellene mellem de tyske bestemmelser og de franske og belgiske bestemmelser, som dommen i sagen La Quadrature du Net omhandlede, er betydelige. I henhold til de førstnævnte bestemmelser lagres ikke data om besøgte websteder, data fra e-mails og data vedrørende meddelelser til eller fra telefontjenester af social eller religiøs karakter.
– En anden endnu mere væsentlig forskel er den omstændighed, at lagringens varighed i henhold til TKG’s § 113b, stk. 1, er mellem fire og ti uger, ikke et år. Denne omstændighed mindsker risikoen for, at der kan udarbejdes en generel profil af de berørte personer.
– De tyske bestemmelser beskytter de lagrede data effektivt mod risikoen for misbrug og ulovlig adgang.
– Efter en nylig dom fra Bundesverfassungsgericht (forbundsdomstol i forfatningsretlige sager) vedrørende TKG’s § 113 (19) er gyldigheden af denne bestemmelse blevet underlagt betingelser, hvis forenelighed med EU-retten ikke er let at afgøre.
– Der hersker tvivl om EU-rettens krav med hensyn til IP-adresser, eftersom det af dommen i sagen La Quadrature du Net ikke klart fremgår, om det generelt er udelukket at lagre disse, idet der er en vis spænding mellem den nævnte doms præmis 168 og 155.
B. Spørgsmålet om, hvorvidt direktiv 2002/58 finder anvendelse
31. Irland og den franske, den nederlandske, den polske og den svenske regering har i det væsentlige gjort gældende, at direktiv 2002/58 ikke finder anvendelse på nationale lovgivninger som den i disse sager omhandlede. Eftersom sådanne lovgivninger omhandler beskyttelse af den nationale sikkerhed og forebyggelse og bekæmpelse af alvorlige strafbare handlinger, henhører de under medlemsstaternes enekompetence i henhold til artikel 4, stk. 2, TEU.
32. Denne indsigelse er entydigt blevet forkastet i dommen i sagen La Quadrature du Net, hvori Domstolen fastslog, at »en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester at lagre trafikdata og lokaliseringsdata med henblik på at beskytte den nationale sikkerhed og bekæmpe kriminalitet, såsom de i hovedsagerne omhandlede lovgivninger, er omfattet af anvendelsesområdet for direktiv 2002/58« (20).
33. Den forelæggende ret har tiltrådt denne argumentation, idet den har bekræftet bedømmelsen i første instans og har tilføjet, at anvendelsen af direktiv 2002/58 i dette tilfælde er blevet »endeligt bekræftet« af Tele2 Sverige-dommen (21).
34. Jeg vil således ikke udtale mig yderligere om dette punkt, som jeg havde lejlighed til at udtale mig om på daværende tidspunkt, hvilken opfattelse Domstolen tilsluttede sig, i forslaget til afgørelse i sagen La Quadrature du Net (22).
C. Generel og udifferentieret lagring over for målrettet lagring af trafikdata og lokaliseringsdata
35. Grundtanken bag Domstolens praksis med hensyn til direktiv 2002/58 er, at brugerne af elektroniske kommunikationsmidler principielt med rette kan forvente, at deres kommunikation og de dermed forbundne data forbliver anonyme, så længe de ikke har givet deres samtykke, og ikke kan gøres til genstand for registrering (23).
36. I henhold til artikel 15, stk. 1, i direktiv 2002/58 tillades undtagelser til forpligtelsen til at sikre fortroligheden og de tilsvarende forpligtelser, således som jeg vil anføre på et senere tidspunkt. Dommen i sagen La Quadrature du Net omfatter en undersøgelse af, hvorvidt sådanne undtagelser er forenelige med de grundlæggende rettigheder, hvis udøvelse kan blive berørt (24).
37. Generel og udifferentieret lagring af trafikdata kan ifølge Domstolen kun begrundes i formålet om beskyttelse af den nationale sikkerhed, som »[vejer] tungere end de andre formål, der er indeholdt i artikel 15, stk. 1, i direktiv 2002/58« (25).
38. I denne forbindelse (national sikkerhed) har Domstolen fastslået, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, således »principielt ikke [er] til hinder for en lovgivningsmæssig foranstaltning, der giver de kompetente myndigheder mulighed for at pålægge udbydere af elektroniske kommunikationstjenester at foretage lagring af trafikdata og lokaliseringsdata, der vedrører alle de brugere, som anvender elektroniske kommunikationsmidler i en begrænset periode, når der foreligger tilstrækkeligt konkrete omstændigheder, der gør det muligt at antage, at den berørte medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed […] som må anses for at være reel og aktuel eller forudsigelig« (26).
39. Disse forskrifter giver ganske vist anledning til en strengere og hårdere ordning end den, der fremgår af Menneskerettighedsdomstolens praksis med hensyn til EMRK’s artikel 8. Den omstændighed, at »betydningen og omfanget af de rettigheder« i chartret, der svarer til rettighederne i EMRK, skal være de samme som dem, der tilbydes i denne konvention, er i overensstemmelse med chartrets artikel 52, stk. 3, in fine, ikke til hinder for, at EU-retten kan yde en mere omfattende beskyttelse.
40. Desuden vedrører Menneskerettighedsdomstolens praksis efter domme af 25. maj 2021, Big Brother Watch m.fl. mod Det Forenede Kongerige (27), og Centrum för Rättvisa mod Sverige (28), samt dom af 4. december 2015, Zakharov mod Rusland (29), situationer, der, således som parterne i retsmødet overvejende har anført, ikke kan sidestilles med de i disse præjudicielle forelæggelser omtvistede situationer. Løsningen på disse situationer bør findes ved at anvende nationale lovgivninger, der anses for at være forenelige med den udtømmende regulering i direktiv 2002/58 som fortolket af Domstolen.
41. Uanset opfattelsen af påberåbelsen af den nationale sikkerhed i dommen i sagen La Quadrature du Net som begrundelse for, på visse betingelser, at løfte forbuddet mod generel og udifferentieret lagring af trafikdata og lokaliseringsdata (de grænser, som Domstolen har fastsat, er efter min opfattelse for brede) skal de forskrifter, der er opregnet i denne doms præmis 137-139, overholdes.
42. Ud over dette må det undersøges, om den nationale lovgivning støtter sig på tilstrækkeligt målrettede kriterier, der overholder de betingelser, der i overensstemmelse med Domstolens praksis kan begrunde et særligt alvorligt indgreb, såsom lagring af data, i de berørte grundlæggende rettigheder.
43. En målrettet lagring af trafikdata og lokaliseringsdata (30) er hjørnestenen i begrundelsen i Domstolens domme på dette område. Denne målrettede udvælgelse kan bl.a. ske på grundlag af kategorier af berørte personer (31) eller baseres på et geografisk kriterium (32).
44. Såvel den forelæggende ret som hovedparten af de parter, der har afgivet indlæg, er enige om at fremhæve de vanskeligheder, som de af Domstolen fastsatte kriterier medfører. Jeg har selv gjort opmærksom på nogle af disse vanskeligheder (33) i forslaget til afgørelse i sagen Ordre des barreaux francophones et germanophone (34).
45. Det kan imidlertid ikke udelukkes, at der findes løsninger til målrettet lagring, der bygger på disse kriterier, og som kan være effektive og samtidig ikke-diskriminerende. Det tilkommer de nationale lovgivere, ikke Domstolen, at udtænke disse løsninger, som skal respektere de grundlæggende rettigheder, der er sikret ved chartret (35).
46. Jeg vil i øvrigt påpege, at det ville være fejlagtigt at udlede, at de personlige og geografiske kriterier er de eneste kriterier, der er forenelige med artikel 15, stk. 1, i direktiv 2002/58, i lyset af de rettigheder, der er beskyttet ved chartret.
47. Selv om den franske regering har anført, at de har vist sig at være ineffektive (36), kan der efter min opfattelse ikke ses bort fra de løsninger, der er blevet foreslået af de arbejdsgrupper, der samledes i Rådet (37) for at definere regler for lagring og adgang, der er forenelige med Domstolens praksis (38).
48. Der bør efter min opfattelse foretrækkes en midlertidig lagring af nogle kategorier af trafikdata og lokaliseringsdata, som er begrænsede i forhold til strenge sikkerhedsbehov, hvilke data i deres helhed ikke gør det muligt at opnå et præcist og detaljeret billede af de berørte personers liv. Dette betyder i praksis, at der med hensyn til de to hovedkategorier (trafikdata og lokaliseringsdata) ved hjælp af de rette filtre kun bør lagres de minimumsdata, som anses for absolut nødvendige med henblik på en effektiv forebyggelse af og kontrol med kriminalitet og på beskyttelse af den nationale sikkerhed (39).
49. Under alle omstændigheder tilkommer det som nævnt medlemsstaterne eller EU-institutionerne ved lov at gennemføre denne udvælgelsesprocedure (med hjælp fra deres egne eksperter) og opgive ethvert forsøg på at indføre en generel og udifferentieret lagring af alle trafik- og lokaliseringsdata (40).
50. Derfor anførte jeg i forslaget til afgørelse i sagen Ordre des barreaux francophones et germanophone, at »[d]e lovgivningsmæssige vanskeligheder – som jeg anerkender – der er ved at opstille de præcise tilfælde og betingelser, hvorunder der kan ske en målrettet lagring, [ikke] retfærdiggør […], at medlemsstaterne gør undtagelsen til en regel og omdanner generel lagring af personlige oplysninger til det centrale princip i deres lovgivninger. I så fald ville der gives tilladelse til et tidsubegrænset væsentligt indgreb i retten til beskyttelse af personoplysninger« (41).
D. Præmis 168 i dommen i sagen La Quadrature du Net
51. I denne forbindelse fremgår de elementer, der er nødvendige for at besvare den forelæggende rets spørgsmål, efter min opfattelse direkte af Domstolens praksis med hensyn til artikel 15, stk. 1, i direktiv 2002/58, som er sammenfattet i dommen i sagen La Quadrature du Net.
52. Jeg bør således især fremhæve Domstolens praksis efter denne dom, hvis præmis 168 opsummerer denne praksis således:
»[A]rtikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger:
– der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består
– der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges
– der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige
– der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og
– der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over
for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug.«
E. Vurdering af den omtvistede lovgivning i disse præjudicielle forelæggelser i lyset af dommen i sagen La Quadrature du Net
53. Ifølge den forelæggende ret, som det alene tilkommer at fortolke den tyske lovgivning, foreskriver denne lovgivning »en lagring af størstedelen af alle relevante telekommunikationstrafikdata, som er uden anledning […] og personligt, tidsmæssigt og geografisk udifferentieret« (42).
54. Den omtvistede nationale lovgivning tillader ikke blot, at de nationale myndigheder kræver lagring af trafikdata og lokaliseringsdata i en begrænset periode: Det er lovgiver, der direkte og på ubestemt tid pålægger forpligtelsen til at lagre disse data.
55. På denne baggrund har den forelæggende ret i sin meddelelse af 13. januar 2021 opregnet forskellene mellem de nationale bestemmelser og de i dommen i sagen La Quadrature du Net omhandlede bestemmelser, der kan føre til en anden løsning end den, Domstolen vedtog i sidstnævnte sag.
56. Jeg vil undersøge disse forskelle i den samme rækkefølge, som den forelæggende ret har opregnet dem i, men inden da bør jeg anerkende, at den tyske lovgiver er gået seriøst til opgaven med at tilpasse den nationale lovgivning til de krav, der på dette område følger af Domstolens praksis.
57. Som den forelæggende ret har anført, er den omtvistede lovgivning resultatet af en lovændring foranlediget af Bundesverfassungsgerichts (forbundsdomstol i forfatningsretlige sager) praksis og af virkningerne af den praksis, der følger af Digital Rights-dommen.
58. Fremskridtene i den omtvistede nationale lovgivning er således prisværdige, hvilket skyldes en stærk vilje til at tilpasse sig Domstolens praksis.
59. Ikke desto mindre har de lovgivningsmæssige bestræbelser måske lagt mere vægt på aspekter vedrørende beskyttelsen af og adgangen til de lagrede data, men i mindre grad på aspekterne vedrørende den målrettede afgrænsning af de data, der kræves lagret.
1. Klassificeringen af de lagrede data
60. Klassificeringen af de lagrede data (der lagres ikke data om besøgte websteder, data fra e-mails og data vedrørende meddelelser til eller fra telefontjenester af social eller religiøs karakter) er efter min opfattelse ikke til hinder for, at der ses bort fra, at forpligtelsen vedrørende generel og udifferentieret lagring omfatter en lang række andre trafikdata og lokaliseringsdata, som i sin helhed ligner den i dommen i sagen La Quadrature du Net omhandlede række af tilsvarende data.
61. I denne forbindelse er det på grund af deres særlige kendetegn og deres ubetydelige indvirkning på den samlede beregning (43) næsten irrelevant, at data, som er baseret på forbindelser til bestemte telefontjenester, der tilhører personer, myndigheder eller organisationer inden for sociale eller kirkelige områder, er udelukket.
62. Det er heller ikke afgørende, at forpligtelsen til at lagre ikke omfatter indhold (fra besøgte websteder eller fra e-mails), eftersom dommen i sagen La Quadrature du Net ikke omhandlede disse former for data, men derimod trafikdata og lokaliseringsdata i forbindelse med elektronisk kommunikation.
2. Varigheden af forpligtelsen til at lagre data
63. Den væsentligste forskel i forhold til de nationale bestemmelser, der blev undersøgt i dommen i sagen La Quadrature du Net, vedrører lagringens varighed, som i henhold til TKG’s § 113b, stk. 1, er mellem fire og ti uger (fire uger for lokaliseringsdata og ti uger for de øvrige data), og ikke et år.
64. Såvel den forelæggende ret som visse af de regeringer, der har afgivet indlæg i sagen, har nævnt denne omstændighed og har fremhævet, at den omtvistede lovgivning medfører en fornuftig forkortelse af varigheden af lagringen af dataene. Ifølge den forelæggende ret mindsker denne omstændighed risikoen for, at der kan udarbejdes en generel profil af de berørte personer.
65. Således som jeg anførte i forslaget til afgørelse i sagen Ordre des barreaux francophones et germanophone, hvor jeg nævnte netop den nationale lovgivning, der er omhandlet i den foreliggende sag, kræves det, at de lagrede data kun kan lagres i en begrænset periode (44), afhængig af om de tilhører en kategori eller andre kategorier (45).
66. Selv om den tidsmæssige begrænsning af lagringsperioden er et relevant element med henblik på vurderingen af den omtvistede lovgivning, kan denne omstændighed imidlertid ikke opveje den omstændighed, at denne lovgivning kræver generel og udifferentieret lagring af trafikdata og lokaliseringsdata.
67. Ud over tilfælde, der begrundes i beskyttelsen af den nationale sikkerhed, kan der i overensstemmelse med Domstolens praksis som nævnt kun foretages en målrettet lagring af data vedrørende elektronisk kommunikation på grund af den alvorlige risiko, som en generel lagring af disse data ville indebære.
68. Det er netop denne risiko, som Domstolens praksis på området bygger på: »Trafikdata og lokaliseringsdata kan afsløre oplysninger om en lang række forhold, der vedrører de berørte personers privatliv, herunder følsomme oplysninger, såsom oplysninger om seksuel orientering, politiske anskuelser, samfundsmæssige, filosofiske, religiøse og andre overbevisninger samt oplysninger om helbredstilstand, mens sådanne oplysninger i øvrigt nyder en særlig beskyttelse i EU-retten. De nævnte data vil tilsammen kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer. Særligt gør disse data det muligt at lave en profil af de berørte personer, hvilken oplysning, henset til retten for respekt af privatlivet, er lige så følsom som selve indholdet af kommunikationen« (46).
69. Således som den forelæggende ret har anført, kan en lagring, der er meget begrænset i tid, ganske vist gøre det vanskeligere at udarbejde profiler.
70. De større eller mindre vanskeligheder i denne henseende skyldes imidlertid ikke blot lagringsperioden, men også de lagrede datas kvantitet og kvalitet: jo flere data, desto større er sandsynligheden for at opnå følsomme oplysninger i tidsperioder, hvis længde afhænger af udviklingen i overvågnings-, korrelations- og evalueringsteknikkerne for samtlige data vedrørende elektronisk kommunikation. Hvad der i dag kan være utilstrækkelig tid til at samle oplysninger, der muliggør udarbejdelse af profiler, kan i en mere eller mindre nær fremtid være mere end tilstrækkelig tid til dette (47).
71. Domstolen har under alle omstændigheder fastslået, at »[d]et indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, der følger af, at en offentlig myndighed gives adgang til en samling af trafikdata eller lokaliseringsdata, der kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, er imidlertid under alle omstændigheder alvorligt, uanset varigheden af den periode, for hvilken der er anmodet om adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode, når denne samling af data […] kan gøre det muligt at drage præcise slutninger vedrørende den eller de berørte personers privatliv« (48).
72. Jeg er endelig af den opfattelse, at lighederne på dette punkt mellem den omtvistede lovgivning i de foreliggende sager og de omhandlede lovgivninger i de sager, der gav anledning til dommen i sagen La Quadrature du Net, på trods af de forskelle, som den forelæggende ret har gjort opmærksom på, ikke tillader, at praksis i henhold til sidstnævnte dom fraviges.
3. Beskyttelse af data mod ulovlig adgang hertil
73. Den forelæggende ret har anført, at de tyske bestemmelser beskytter de lagrede data effektivt mod risikoen for misbrug og ulovlig adgang.
74. Uden at undervurdere de lovgivningsmæssige bestræbelser med hensyn til beskyttelse af dataene og adgangen hertil kan der ikke ses bort fra den omstændighed, at Domstolen har fastslået, at »lagring af trafikdata og lokaliseringsdata i sig selv udgør […] et indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger« (49). I denne retning »[udgør] adgangen til sådanne data, uanset hvorledes disse data efterfølgende anvendes, […] et særskilt indgreb« i de nævnte grundlæggende rettigheder (50).
75. For så vidt angår den foreliggende sag er det derfor ikke relevant, at den ordning for beskyttelse af lagrede data, som den tyske lovgiver har indført: a) effektivt sikrer, at disse data holdes skadesløse, b) begrænser betingelserne for adgang effektivt og stramt og begrænser den gruppe, der kan få adgang til disse data, og c) kun tillader, at de lagrede data anvendes til at forfølge særligt grove straffelovsovertrædelser og til at afværge en konkret risiko for en persons liv eller frihed eller for statens beståen.
76. Således som den forelæggende ret også har anført, er det, der reelt er afgørende, at den omtvistede forpligtelse til lagring i sig selv ikke forudsætter nogen specifik anledning.
4. Indvirkningen af Bundesverfassungsgerichts (forbundsdomstol i forfatningsretlige sager) dom af 27. maj 2020
77. Den forelæggende ret har henvist til en dom afsagt af Bundesverfassungsgericht (forbundsdomstol i forfatningsretlige sager) vedrørende TKG’s § 113 (51), hvorefter gyldigheden af denne bestemmelse, efter det blev fastslået, at den er forfatningsstridig, er blevet underlagt betingelser, hvis forenelighed med EU-retten ikke er let at afgøre.
78. Domstolen har på nuværende tidspunkt ingen kommentarer til virkningerne af den nævnte dom og da slet ikke til omfanget af de nye bestemmelser, som den tyske lovgiver skal vedtage (eller, i givet fald, har vedtaget).
79. Hvis den forelæggende ret, således som den har anført, skal afsige sin »revisionsdom« i lyset af den lovgivning, der er gældende på den dato, hvor denne dom afsiges, må den selv afgøre, om den er forenelig med EU-retten i betragtning af Domstolens praksis vedrørende beskyttelsen af data fra elektronisk kommunikation.
5. IP-adresser
80. Ifølge den forelæggende ret følger det af præmis 168 i dommen i sagen La Quadrature du Net, at Domstolen med hensyn til IP-adresser kræver en begrundelse for lagringen, der er forbundet med målet om beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed. Det fremgår imidlertid af præmis 155, at disse IP-adresser kan lagres, uden at der kræves en specifik begrundelse, idet det alene er anvendelsen af de lagrede data, der kræver en begrundelse, der er knyttet til det nævnte mål.
81. Jeg er imidlertid ikke af den opfattelse, at der er tale om en spænding (og slet ikke om en uoverensstemmelse). Selv om det i præmis 155 fastslås, at generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, »principielt ikke [forekommer] at være i strid med artikel 15, stk. 1, i direktiv 2002/58«, fastslås det dernæst i præmis 156, at det »[h]enset til den alvorlige karakter af det indgreb i de grundlæggende rettigheder […] som denne lagring indebærer, […] kun [er] bekæmpelsen af grov kriminalitet og forebyggelsen af alvorlige trusler mod den offentlige sikkerhed, der i lighed med beskyttelsen af den nationale sikkerhed kan begrunde dette indgreb«.
82. Ved at sammenholde præmis 155 og 156 i dommen i sagen La Quadrature du Net opstår således det sammenhængende svar, som Domstolen i præmis 168 gav på de præjudicielle spørgsmål, der ved den pågældende lejlighed var blevet forelagt om lagringen af IP-adresser.
83. I retsmødet er der blevet fremhævet visse problemer – som efter nogle intervenienters opfattelse kræver en præcisering fra Domstolen – om lagringen af IP-adresser. Løsningen på disse problemer (herunder problemer, der skyldes forskellen mellem dynamiske og statiske IP-adresser samt indvirkningen af IPv6-protokollen) går efter min opfattelse ud over rammerne for det, som den forelæggende ret ønsker oplyst, hvis oprindelige anmodninger om præjudiciel afgørelse (52) og meddelelse af 13. januar 2021 har et meget mere begrænset omfang for så vidt angår dette aspekt.
V. Forslag til afgørelse
84. På baggrund af det ovenstående foreslår jeg, at Domstolen svarer Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) således:
»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 4, stk. 2, TEU, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, som forpligter udbydere af offentligt tilgængelige elektroniske kommunikationstjenester til i forebyggende øjemed at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata for slutbrugerne af disse tjenester med henblik på andre formål end beskyttelse af den nationale sikkerhed mod en trussel, som må anses for at være reel og aktuel eller forudsigelig.«