Language of document : ECLI:EU:C:2014:238

Forenede sager C-293/12 og C-594/12

Digital Rights Ireland Ltd

mod

Minister for Communications, Marine and Natural Resources m.fl.

og

Kärntner Landesregierung m.fl.

(anmodninger om præjudiciel afgørelse, indgivet af High Court (Irland) og Verfassungsgerichtshof)

»Elektronisk kommunikation – direktiv 2006/24/EF – offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af sådanne tjenester – gyldighed – artikel 7, 8 og 11 i Den Europæiske Unions charter om grundlæggende rettigheder«

Sammendrag – Domstolens dom (Store Afdeling) af 8. april 2014

1.        Grundlæggende rettigheder – Den Europæiske Unions charter om grundlæggende rettigheder – respekt for privatlivet – beskyttelse af personoplysninger – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet – direktiv 2006/24 – pligt for udbydere til at lagre visse data med henblik på eventuel videregivelse til de nationale myndigheder – indgreb som omhandlet i chartrets artikel 7 og 8

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8; Europa-Parlamentets og Rådets direktiv 2006/24, art. 3, 4, 5, 6 og 8)

2.        Grundlæggende rettigheder – Den Europæiske Unions charter om grundlæggende rettigheder – begrænsning i udøvelsen af de rettigheder og friheder, der er sikret ved chartret – betingelser – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet – direktiv 2006/24 – pligt for udbydere til at lagre visse data med henblik på eventuel videregivelse til de nationale myndigheder – krænkelse af det væsentligste indhold af de grundlæggende rettigheder – foreligger ikke – målet om beskyttelse af den offentlige sikkerhed

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2006/24)

3.        Grundlæggende rettigheder – Den Europæiske Unions charter om grundlæggende rettigheder – begrænsning i udøvelsen af de rettigheder og friheder, der er sikret ved chartret – betingelser – lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet – direktiv 2006/24 – pligt for udbydere til at lagre visse data med henblik på eventuel videregivelse til de nationale myndigheder – tilsidesættelse af proportionalitetsprincippet

(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2006/24)

1.        Den pligt, der i henhold til artikel 3 og 6 i direktiv 2006/24 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58 er pålagt udbydere de nævnte tjenester til i et nærmere bestemt tidsrum at lagre data vedrørende en persons privatliv og kommunikation som dem, der er omhandlet i dette direktivs artikel 5, udgør i sig selv et indgreb i de rettigheder, som er sikret ved Den Europæiske Unions charter om grundlæggende rettigheder om grundlæggende rettigheder artikel 7. Desuden indebærer artikel 4 og 8 i direktiv 2006/24, der fastsætter regler om de kompetente nationale myndigheders adgang til dataene, et indgreb i de rettigheder, som er sikret ved chartrets artikel 7.

Direktiv 2006/24 indebærer ligeledes et indgreb i den grundlæggende ret til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 8, eftersom det foreskriver en behandling af personoplysninger.

Dette indgreb er meget vidtrækkende og må anses for at være af særligt alvorlig karakter. Den omstændighed, at lagringen af data og den efterfølgende anvendelse af dem finder sted, uden at abonnenten eller den registrerede bruger oplyses herom, er desuden egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning.

2.        I henhold til Den Europæiske Unions charter om grundlæggende rettigheder artikel 52, stk. 1, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, være fastlagt i lovgivningen og respektere disse rettigheders og friheders væsentligste indhold, og der kan under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger i disse rettigheder og friheder, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

Selv om den lagring af data, som foreskrives i direktiv 2006/24 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58, udgør et særlig alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og de øvrige rettigheder, som er fastslået i chartrets artikel 7, er dette indgreb for det første ikke af en sådan art, at det indebærer en krænkelse af deres væsentligste indhold, eftersom direktivet, således som det fremgår af dets artikel 1, stk. 2, ikke giver adgang til at gøre sig bekendt med selve indholdet af de elektroniske kommunikationer. Denne lagring af data vil heller ikke kunne indebære en krænkelse af det væsentligste indhold af den grundlæggende ret til beskyttelse af personoplysninger, som er fastslået i chartrets artikel 8, eftersom artikel 7 i direktiv 2006/24 indeholder en regel om databeskyttelse og datasikkerhed.

For det andet er det materielle mål med dette direktiv, således som det fremgår af dets artikel 1, stk. 1, at sikre, at der er adgang til disse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning. Det materielle mål med dette direktiv er derfor at bidrage til bekæmpelsen af grov kriminalitet og dermed i sidste ende til den offentlige sikkerhed. Lagring af data med henblik på de kompetente nationale myndigheders eventuelle adgang hertil, som omhandlet i direktiv 2006/24, forfølger derfor faktisk et mål af almen interesse.

(jf. præmis 38-41 og 44)

3.        Direktiv 2006/24 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er ugyldigt.

Bekæmpelse af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, er således ganske vist af afgørende betydning for at sikre den offentlige sikkerhed, og effektiviteten heraf kan i vidt omfang være afhængig af anvendelse af moderne efterforskningsteknikker. Et sådant mål af almen interesse kan imidlertid, hvor grundlæggende det end er, ikke i sig selv begrunde, at en foranstaltning med henblik på datalagring som den, der er indført med direktiv 2006/24, anses for nødvendig af hensyn til bekæmpelsen af grov kriminalitet.

Beskyttelsen af personoplysninger i medfør af den udtrykkelige pligt, som er fastsat i Den Europæiske Unions charter om grundlæggende rettigheder artikel 8, stk. 1, har en særlig betydning for retten til respekt for privatlivet, som er fastslået i chartrets artikel 7. Den pågældende EU-lovgivning skal således fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning og opstiller en række mindstekrav, således at de personer, hvis data er blevet lagret, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger.

Det fremgår, at direktiv 2006/24 omfatter alle elektroniske kommunikationsmidler, hvis anvendelse er meget udbredt og af stadigt stigende betydning i den enkeltes dagligdag, og det omfatter alle abonnenter og registrerede brugere. Det indebærer dermed et indgreb i de grundlæggende rettigheder for praktisk talt hele den europæiske befolkning.

For det første omfatter direktiv 2006/24 generelt alle personer og alle elektroniske kommunikationsmidler og samtlige trafikdata uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til målet om at bekæmpe grov kriminalitet.

For det andet fastsætter direktiv 2006/24 ikke noget objektivt kriterium, som gør det muligt at afgrænse de kompetente nationale myndigheders adgang til dataene og den efterfølgende anvendelse heraf med henblik på forebyggelse, afsløring eller strafferetlig forfølgning vedrørende kriminalitet, der, henset til rækkevidden og alvoren af indgrebet i de rettigheder, som er fastslået i chartrets artikel 7 og 8, kan anses for tilstrækkeligt grov til at begrunde et sådant indgreb. Direktiv 2006/24 indeholder desuden ingen materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data og den efterfølgende anvendelse heraf.

For det tredje foreskriver direktiv 2006/24, at dataene skal lagres i et tidsrum af mindst seks måneder, uden at der på nogen måde foretages en sondring mellem kategorierne af data efter deres relevans for det mål, som forfølges, eller afhængigt af, hvilke personer der er berørt. Det er desuden ikke præciseret, at fastsættelsen af lagringsperioden skal være baseret på objektive kriterier for at sikre, at den begrænses til det strengt nødvendige.

Direktiv 2006/24 indebærer følgelig et indgreb i disse grundlæggende rettigheder, som er meget vidtrækkende og af særligt alvorlig karakter i EU’s retsorden, uden at dette indgreb er præcist afgrænset af bestemmelser, der gør det muligt at sikre, at det faktisk er begrænset til det strengt nødvendige.

Endelig fastsætter direktiv 2006/24 ikke tilstrækkelige garantier, således som foreskrevet i chartrets artikel 8, der gør det muligt at sikre en effektiv beskyttelse af lagrede data mod risikoen for misbrug og mod enhver ulovlig adgang til og anvendelse af disse oplysninger.

Det følger af samtlige ovenstående betragtninger, at EU-lovgiver ved vedtagelsen af direktiv 2006/24 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58 har overskredet de grænser, som overholdelsen af proportionalitetsprincippet kræver, henset til chartrets artikel 7 og 8 samt art. 52, stk. 1.

(jf. præmis 51, 53, 54, 56, 57, 60, 61, 63-66 og 69 samt domskonkl.)