Sag C-140/20
G.D.
mod
Commissioner of An Garda Síochána m.fl.
(anmodning om præjudiciel afgørelse indgivet af Supreme Court (Irland))
Domstolens dom (Store Afdeling) af 5. april 2022
»Præjudiciel forelæggelse – behandling af personoplysninger i den elektroniske kommunikationssektor – kommunikationshemmelighed – udbydere af elektroniske kommunikationstjenester – generel og udifferentieret lagring af trafikdata og lokaliseringsdata – adgang til de lagrede data – efterfølgende domstolsprøvelse – direktiv 2002/58/EF – artikel 15, stk. 1 – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 11 samt artikel 52, stk. 1 – en national rets mulighed for tidsmæssigt at begrænse virkningerne af en ugyldighedserklæring vedrørende en national lovgivning, der er uforenelig med EU-retten – udelukket«
1. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata – formålet om bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed – ikke tilladt – nationale foranstaltninger, der foreskriver målrettet lagring af disse data på grundlag af objektive og ikke-diskriminerende forhold og i en periode, der er tidsmæssigt begrænset til det strengt nødvendige – nationale foranstaltninger, der foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige – nationale foranstaltninger, der foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler – nationale foranstaltninger, der giver mulighed for at påbyde udbydere af elektroniske kommunikationstjenester at foretage hurtig lagring af trafikdata og lokaliseringsdata i en begrænset periode – formålet om bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed – lovlighed – betingelser
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk.1)
(jf. præmis 51-57, 62-65, 71-74, 83-87, 91-93 og 97-101 samt domskonkl. 1)
2. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata – nationale myndigheders adgang til de lagrede data med henblik på strafferetlig efterforskning – tilladelse til adgang givet af en politiembedsmand, bistået af en enhed oprettet inden for politiet, der ved udførelsen af sine opgaver har en vis uafhængighed – adgang undergivet efterfølgende kontrol foretaget af en ret – ikke tilladt
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk.1)
(jf. præmis 106-112 og domskonkl. 2)
3. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata – formålet om bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed – ikke tilladt – ugyldighedserklæring vedrørende den nationale lovgivning, som foreskriver disse foranstaltninger, på grund af denne lovgivnings uforenelighed med EU-retten – den nationale rets mulighed for tidsmæssigt at begrænse virkningerne af en sådan erklæring – foreligger ikke
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk. 1)
(jf. præmis 118, 119 og 122-128 samt domskonkl. 3)
Resumé
Domstolen har i de seneste år i flere domme taget stilling til spørgsmålet om lagring af og adgang til personoplysninger inden for området for elektronisk kommunikation (1).
Den har navnlig i to domme afsagt af Store Afdeling den 6. oktober 2020 (2) bekræftet den praksis, der følger af Tele2 Sverige-dommen, hvorefter generel og udifferentieret lagring af trafikdata og lokaliseringsdata er uforholdsmæssig. Domstolen har ligeledes foretaget præciseringer hvad navnlig angår omfanget af de beføjelser, som direktivet om databeskyttelse inden for elektronisk kommunikation tillægger medlemsstaterne med hensyn til lagring af sådanne data med henblik på at beskytte den nationale sikkerhed og bekæmpe kriminalitet.
I den foreliggende sag blev anmodningen om præjudiciel afgørelse indgivet af Supreme Court (øverste domstol, Irland) i forbindelse med en civil sag anlagt af en person, der var blevet idømt livsvarigt fængsel for et drab begået i Irland. Den pågældende gjorde gældende, at visse bestemmelser i den nationale lov om lagring af data genereret i forbindelse med elektroniske kommunikation (3) var i strid med EU-retten. Trafikdata og lokaliseringsdata vedrørende den sigtedes telefonopkald var i henhold til denne lov (4) blevet lagret af udbydere af elektroniske kommunikationstjenester og gjort tilgængelige for politimyndighederne. Den forelæggende rets tvivl vedrørte bl.a. spørgsmålet, om en ordning for generel og udifferentieret lagring af disse data i forbindelse med bekæmpelse af grov kriminalitet er forenelig med direktivet om databeskyttelse inden for elektronisk kommunikation (5), sammenholdt med chartret (6).
Domstolen bekræftede ved sin dom, der blev afsagt af Store Afdeling, den retspraksis, der følger af dommen i sagen La Quadrature du Net m.fl., idet den præciserede rækkevidden af denne og bemærkede, at generel og udifferentieret lagring af trafikdata og lokaliseringsdata vedrørende elektronisk kommunikation ikke er tilladt med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed. Domstolen bekræftede ligeledes den retspraksis, der følger af Prokuratuur-dommen (Betingelser for adgang til oplysninger om elektronisk kommunikation) (7), bl.a. hvad angår forpligtelsen til at undergive de kompetente nationale myndigheders adgang til de lagrede data en forudgående kontrol, der skal foretages af enten en domstol eller en uafhængig administrativ enhed, sammenlignet med en politiembedsmand.
Domstolens bemærkninger
Domstolen fastslog for det første, at direktivet om databeskyttelse inden for elektronisk kommunikation, sammenholdt med chartret, er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Når der henses til dels de afskrækkende virkninger for udøvelsen af de grundlæggende rettigheder (8), som denne lagring kan have, dels alvoren af det indgreb, som den indebærer, skal en sådan lagring nemlig udgøre undtagelsen og ikke reglen i det system, der er indført ved dette direktiv, således at disse data ikke kan gøres til genstand for en systematisk og løbende lagring. Kriminalitet, selv ikke særlig grov kriminalitet, kan ikke sidestilles med en trussel mod den nationale sikkerhed, for så vidt som der ved en sådan sidestilling ville kunne blive indført en mellemkategori mellem den nationale sikkerhed og den offentlige sikkerhed, med henblik på at anvende de krav, der gælder for førstnævnte, på sidstnævnte.
Derimod er direktivet om databeskyttelse inden for elektronisk kommunikation, sammenholdt med chartret, ikke til hinder for lovgivningsmæssige foranstaltninger, der med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges. Domstolen tilføjede, at en sådan lagringsforanstaltning rettet mod steder eller infrastrukturer, der regelmæssigt besøges af et meget stort antal personer, eller strategiske steder, såsom lufthavne, banegårde, havne eller vejafgiftsområder, kan gøre det muligt for de kompetente myndigheder at indhente oplysninger om tilstedeværelsen på disse steder eller i disse geografiske områder af de personer, som dér har brugt et elektronisk kommunikationsmiddel, og heraf drage konklusioner om disses tilstedeværelse og aktivitet på disse steder eller i disse geografiske områder med henblik på bekæmpelse af grov kriminalitet. Under alle omstændigheder kan eventuelle vanskeligheder ved at opstille de præcise tilfælde og betingelser, hvorunder der kan ske en målrettet lagring, ikke begrunde, at medlemsstaterne foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata.
Det nævnte direktiv, sammenholdt med chartret, er heller ikke til hinder for lovgivningsmæssige foranstaltninger, der med samme formål for øje foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, og de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler. Hvad sidstnævnte aspekt angår præciserede Domstolen nærmere bestemt, at hverken direktivet om databeskyttelse inden for elektronisk kommunikation eller nogen anden EU-retsakt er til hinder for en national lovgivning, der har til formål at bekæmpe grov kriminalitet, og hvorefter erhvervelse af et elektronisk kommunikationsmiddel, såsom et forudbetalt SIM-kort, betinges af en kontrol af officielle dokumenter, der fastslår køberens identitet, og af sælgerens registrering af oplysningerne herom, idet sælgeren har pligt til i påkommende tilfælde at give de kompetente nationale myndigheder adgang til disse oplysninger.
Det samme gælder for lovgivningsmæssige foranstaltninger, der ligeledes med henblik på bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den nationale sikkerhed gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at påbyde udbydere af elektroniske kommunikationstjenester i en begrænset periode at foretage hurtig lagring (»quick freeze«) af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over. Det er nemlig kun bekæmpelsen af grov kriminalitet og a fortiori beskyttelsen af den nationale sikkerhed, der kan begrunde en sådan lagring, på den betingelse, at denne foranstaltning og adgangen til de således lagrede data holder sig inden for grænserne af det strengt nødvendige. Domstolen bemærkede, at en sådan foranstaltning vedrørende hurtig lagring kan udvides til at omfatte de trafikdata og lokaliseringsdata, der vedrører andre personer end dem, der mistænkes for at have planlagt eller begået en alvorlig strafbar handling eller et angreb mod den nationale sikkerhed, for så vidt som disse data på grundlag af objektive og ikke-diskriminerende forhold kan bidrage til at opklare en sådan strafbar handling eller et sådant angreb mod den nationale sikkerhed, såsom oplysninger om offeret for den strafbare handling eller om den pågældendes sociale og arbejdsmæssige omgangskreds.
Herefter bemærkede Domstolen imidlertid, at alle de ovennævnte lovgivningsmæssige foranstaltninger ved klare og præcise regler skal sikre, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug. De forskellige foranstaltninger til lagring af trafikdata og lokaliseringsdata kan, efter den nationale lovgivers valg og inden for grænserne af det strengt nødvendige, finde anvendelse samtidig.
Domstolen bemærkede desuden, at såfremt der med henblik på bekæmpelse af grov kriminalitet blev givet adgang til sådanne data, som er blevet lagret generelt og udifferentieret for at håndtere en alvorlig trussel mod den nationale sikkerhed, ville det være i strid med det hierarki af mål af almen interesse, der kan begrunde vedtagelse af en foranstaltning i henhold til direktivet om databeskyttelse inden for elektronisk kommunikation (9). Det ville nemlig indebære, at adgang ville kunne begrundes i et mål af mindre betydning end det, der har begrundet lagringen, nemlig beskyttelse af den nationale sikkerhed, med risiko for, at forbuddet mod at foretage en generel og udifferentieret lagring med henblik på bekæmpelse af grov kriminalitet herved ville blive berøvet sin effektive virkning.
For det andet fastslog Domstolen, at direktivet om databeskyttelse inden for elektronisk kommunikation, sammenholdt med chartret, er til hinder for en national lovgivning, hvorefter den centraliserede behandling af anmodninger om adgang til data lagret af udbydere af elektroniske kommunikationstjenester, der indgives af politiet i forbindelse med efterforskning og retsforfølgning af alvorlige strafbare handlinger, påhviler en politiembedsmand, også selv om vedkommende bistås af en enhed oprettet inden for politiet, der ved udførelsen af sine opgaver har en vis uafhængighed, og hvis afgørelser efterfølgende kan underkastes domstolsprøvelse. For det første opfylder en sådan embedsmand nemlig ikke de krav om uafhængighed og upartiskhed, der gælder for en administrativ myndighed, der foretager den forudgående kontrol af anmodninger om adgang fra de kompetente nationale myndigheder, for så vidt som vedkommende ikke er udenforstående i forhold til disse myndigheder. Selv om en sådan embedsmands afgørelse kan underkastes en efterfølgende kontrol, kan denne kontrol for det andet ikke træde i stedet for en uafhængig og, undtagen i behørigt begrundede hastetilfælde, forudgående kontrol.
Endelig bekræftede Domstolen for det tredje sin praksis, hvorefter EU-retten er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ugyldighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, på grund af denne lovgivnings uforenelighed med direktivet om databeskyttelse inden for elektronisk kommunikation. Domstolen bemærkede imidlertid, at spørgsmålet om antageligheden af beviser, der er fremskaffet ved hjælp af en sådan lagring, i overensstemmelse med princippet om medlemsstaternes procesautonomi henhører under national ret, dog under overholdelse af navnlig ækvivalensprincippet og effektivitetsprincippet.