Forenede sager C-793/19 og C-794/19
Bundesrepublik Deutschland
mod
SpaceNet AG
og
Telekom Deutschland GmbH
(anmodninger om præjudiciel afgørelse indgivet af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland))
Domstolens dom (Store Afdeling) af 20. september 2022
»Præjudiciel forelæggelse – behandling af personoplysninger i den elektroniske kommunikationssektor – kommunikationshemmelighed – kommunikationshemmelighed – udbydere af elektroniske kommunikationstjenester – generel og udifferentieret lagring af trafikdata og lokaliseringsdata – direktiv 2002/58/EF – artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 6, 7, 8 og 11 samt artikel 52, stk. 1 – artikel 4, stk. 2, TEU«
1. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – anvendelsesområde – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at lagre trafik- og lokaliseringsdata – formål om beskyttelse af den nationale sikkerhed og bekæmpelse af kriminalitet – omfattet
(Art. 4, stk. 2, TEU; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 1, stk. 1 og 3, art. 3 og art. 15, stk. 1)
(jf. præmis 48)
2. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafik- og lokaliseringsdata – formålet om bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed – ikke tilladt – varigheden af perioden for generel og udifferentieret lagring af disse data – ingen betydning – nationale foranstaltninger vedrørende lagring af bestemte kategorier af data – formål om beskyttelse af den offentlige sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed – lovlighed – betingelser
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk. 1)
(jf. præmis 49-75, 77-81, 83-85, 87-94, 97-99, 110, 113, 116-121, 127-131 og domskonkl.)
Resumé
Domstolen har i de seneste år i flere domme taget stilling til spørgsmålet om lagring af og adgang til personoplysninger inden for området for elektronisk kommunikation (1).
Senest bekræftede Domstolen i dommen i sagen La Quadrature du net m.fl. (2), afsagt af Store Afdeling den 6. oktober 2020, sin praksis efter dom Tele2 Sverige og Watson m.fl. (3) om, at generel og udifferentieret lagring af trafik- og lokaliseringsdata vedrørende elektronisk kommunikation var uforholdsmæssig. Den gav præciseringer om bl.a. rækkevidden af de beføjelser, som medlemsstaterne er tillagt ved direktivet om »databeskyttelse inden for elektronisk kommunikation«, på området for lagring af sådanne data med henblik på beskyttelsen af den nationale sikkerhed, bekæmpelsen af kriminalitet og beskyttelsen af den offentlige sikkerhed.
I de nærværende forenede sager havde Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland), som var forelagt en revisionsanke iværksat af Forbundsrepublikken Tyskland til prøvelse af to domme, hvorved to selskaber, SpaceNet AG (sag C-793/19) og Telekom Deutschland GmbH (sag C-794/19), som leverer internetadgangstjenester, havde fået medhold i deres påstande i de anlagte søgsmål, indgivet to anmodninger om præjudiciel afgørelse. Med disse søgsmål havde selskaberne anfægtet den forpligtelse, som er pålagt i tysk lovgivning (4), til at lagre trafikdata og lokaliseringsdata vedrørende deres kunders telekommunikation.
Den tvivl, som den forelæggende ret havde givet udtryk for, vedrørte bl.a. spørgsmålet om, hvorvidt direktivet om »databeskyttelse inden for elektronisk kommunikation« (5), sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) (6) og med artikel 4, stk. 2, TEU, var til hinder for en national lovgivning, som navnlig med henblik på at bekæmpe alvorlige strafbare handlinger eller forebygge en konkret risiko for den nationale sikkerhed pålægger udbyderne af offentligt tilgængelige elektroniske kommunikationstjenester at foretage en generel og udifferentieret lagring af disse tjenesters brugeres væsentligste trafikdata og lokaliseringsdata, idet der foreskrives en periode for lagringen på flere uger samt regler for at sikre de lagrede data en effektiv beskyttelse mod risikoen for misbrug og mod enhver ulovlig adgang til disse data.
Ved sin dom bekræftede Domstolen, sat i Store Afdeling, retspraksis efter dommen i sagen La Quadrature du Net m.fl. og senest dommen i sagen Commissioner of An Garda Síochána m.fl. (7), idet den præciserede rækkevidden heraf. Domstolen bemærkede bl.a., at en generel og udifferentieret lagring af trafikdata og lokaliseringsdata vedrørende elektronisk kommunikation ikke er tilladt i forebyggelsesøjemed med henblik på bekæmpelsen af grov kriminalitet og forebyggelsen af alvorlige trusler mod den offentlige sikkerhed.
Domstolens bemærkninger
Domstolen bekræftede indledningsvis, at direktivet om »databeskyttelse inden for elektronisk kommunikation« fandt anvendelse på den omhandlede nationale lovgivning, og foretog herefter en didaktisk gennemgang af principperne i medfør af dens praksis, inden den foretog en detaljeret undersøgelse af de kendetegn ved den omhandlede nationale lovgivning, som den forelæggende ret havde fremhævet.
Hvad indledningsvis angår omfanget af de lagrede data bemærkede Domstolen, at den pligt til lagring, der var fastsat i den omhandlede nationale lovgivning, gjaldt for en meget bred vifte af trafikdata og lokaliseringsdata, og at den vedrørte næsten samtlige de personer, som befolkningen var udgjort af, uden at de – end ikke indirekte – befandt sig i en situation, der kunne give anledning til strafferetlig forfølgning. Domstolen erindrede ligeledes om, at denne lovgivning uden anledning pålagde en generel samt personligt, tidsmæssigt og geografisk udifferentieret lagring af størstedelen af trafikdata og lokaliseringsdata, hvoraf omfanget i det væsentlige svarede til omfanget af de data, som blev lagret i de sager, der gav anledning til dommen i sagen La Quadrature du net m.fl. Henset til denne retspraksis fastslog Domstolen, at en pligt til lagring af data som den i hovedsagerne omhandlede ikke kunne anses for at være en målrettet lagring af data.
Dernæst bemærkede Domstolen hvad angår perioden for lagringen af data, at det følger af direktivet om »databeskyttelse inden for elektronisk kommunikation« (8), at den periode for lagringen, som er fastsat ved nationale forskrifter, der pålægger en pligt til generel og udifferentieret lagring, ganske vist er én blandt flere relevante faktorer med henblik på at afgøre, om EU-retten er til hinder for en sådan forskrift, idet det i nævnte direktiv kræves, at denne periode skal være »begrænset«. Alvoren af indgrebet, navnlig i betragtning af dataenes antal og forskelligartethed, følger imidlertid af risikoen for, at de lagrede data samlet set gør det muligt at drage meget præcise slutninger vedrørende privatlivet for den eller de personer, hvis data er blevet lagret, og især giver midler til at udarbejde en profil for den eller de berørte personer, som, henset til respekten for privatlivet, er en lige så følsom oplysning som selve indholdet af kommunikationen. Dermed er lagringen af trafikdata eller lokaliseringsdata under alle omstændigheder af alvorlig karakter, uanset varigheden af perioden for lagringen og mængden eller arten af de lagrede data, når denne samling af data kan gøre det muligt at drage sådanne slutninger (9).
Endelig bemærkede Domstolen hvad angår de garantier, som tilsigtede at beskytte de lagrede data mod risikoen for misbrug og mod enhver form for ulovlig adgang, med støtte i hidtidig retspraksis, at lagring af sådanne data og adgang hertil udgør særskilte indgreb i de berørte personers grundlæggende rettigheder og kræver særskilte begrundelser. Heraf følger, at en national lovgivning, der sikrer, at de betingelser, der følger af retspraksis om adgang til lagrede data, overholdes fuldt ud, i sagens natur hverken kan begrænse eller endsige afhjælpe det alvorlige indgreb i de berørte personers rettigheder, der ville følge af en generel lagring af sådanne data.
For at besvare de argumenter, der var fremført for den, bemærkede Domstolen for det første, at en trussel mod den nationale sikkerhed skal være reel og aktuel eller i det mindste forudsigelig, hvilket forudsætter, at der foreligger tilstrækkeligt konkrete omstændigheder til at kunne begrunde en forskrift om generel og udifferentieret lagring af trafikdata og lokaliseringsdata i et begrænset tidsrum. En sådan trussel adskiller sig derfor på grund af sin art, sin alvorlige karakter og den særlige karakter af de omstændigheder, som den udgør, fra den generelle og vedvarende risiko i form af spændinger eller forstyrrelser, selv alvorlige, for den offentlige sikkerhed og alvorlige strafbare handlinger. Selv særlig grov kriminalitet kan således ikke sidestilles med en trussel mod den nationale sikkerhed.
For det andet bemærkede Domstolen, at såfremt der med henblik på bekæmpelse af grov kriminalitet gives adgang til trafikdata og lokaliseringsdata, som er blevet lagret generelt og udifferentieret, for at imødegå en alvorlig trussel mod den nationale sikkerhed, vil denne adgang være i strid med hierarkiet af mål af almen interesse, som kan begrunde en forskrift vedtaget i henhold til direktivet om »databeskyttelse inden for elektronisk kommunikation« (10). Adgangen ville således kunne begrundes i et formål, der har mindre betydning end det formål, der begrundede lagringen, nemlig beskyttelse af den nationale sikkerhed, og forbuddet mod at foretage en generel og udifferentieret lagring med henblik på bekæmpelse af grov kriminalitet ville herved blive berøvet sin effektive virkning.
Idet den bekræftede sin tidligere praksis konkluderede Domstolen, at direktivet om »databeskyttelse inden for elektronisk kommunikation«, sammenholdt med chartret, er til hinder for nationale retsforskrifter, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata.
Dette direktiv er derimod ikke til hinder for nationale retsforskrifter, der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig. I denne forbindelse præciserede Domstolen, at den afgørelse, som fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består.
Dette direktiv, sammenholdt med chartret, er heller ikke til hinder for nationale retsforskrifter, der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges.
Det samme gælder for nationale retsforskrifter, der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, samt data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, hvorom det står fast, at lagringen kan bidrage til bekæmpelsen af grov kriminalitet, for så vidt som disse data gør det muligt at identificere de personer, der har anvendt sådanne midler i forbindelse med planlægningen eller udførelsen af en handling, der sorterer under grov kriminalitet.
Det forholder sig ligeledes således med nationale retsforskrifter, der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over.
Domstolen erindrede imidlertid om, at alle de ovennævnte forskrifter ved klare og præcise regler skal sikre, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug. Disse forskellige forskrifter kan, efter den nationale lovgivers valg og inden for grænserne af det strengt nødvendige, finde anvendelse samtidig.