CONCLUSIE VAN ADVOCAAT-GENERAAL
M. CAMPOS SÁNCHEZ-BORDONA
van 18 november 2021 (1)
Gevoegde zaken C‑793/19 en C‑794/19
Bundesrepublik Deutschland
tegen
SpaceNet AG (C‑793/19)
Telekom Deutschland GmbH (C‑794/19)
[verzoek van het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Telecommunicatie – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 15, lid 1 – Artikel 4, lid 2, VEU – Handvest van de grondrechten van de Europese Unie – Artikelen 6, 7, 8 en 11 en artikel 52, lid 1 – Algemene en ongedifferentieerde bewaring van verbindingsgegevens met het oog op de vervolging van ernstige strafbare feiten of het afwenden van een concreet gevaar voor de nationale veiligheid”
1. Uit deze verzoeken om een prejudiciële beslissing, alsook uit dat in zaak C‑140/20(2), blijkt eens te meer de bezorgdheid die in sommige lidstaten is gerezen naar aanleiding van de rechtspraak van het Hof inzake de bewaring van en de toegang tot persoonsgegevens die in de sector elektronische communicatie zijn gegenereerd.
2. In mijn conclusies in de zaken C‑511/18 en C‑512/18, La Quadrature du Net e.a.(3), en in zaak C‑520/18, Ordre des barreaux francophones et germanophone e.a.(4), heb ik de volgende arresten aangemerkt als de belangrijkste mijlpalen tot dan toe:
– Arrest van 8 april 2014, Digital Rights Ireland e.a.(5), waarbij richtlijn 2006/24/EG(6) ongeldig is verklaard omdat die een onevenredige inmenging in de in de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) neergelegde rechten mogelijk maakte;
– Arrest van 21 december 2016, Tele2 Sverige en Watson e.a.(7), waarin is verklaard dat artikel 15, lid 1, van richtlijn 2002/58/EG(8) zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in de algemene en ongedifferentieerde bewaring van alle verkeers- en locatiegegevens.
– Arrest van 2 oktober 2018, Ministerio Fiscal(9), waarin de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 is bevestigd en het belang van het evenredigheidsbeginsel ter zake is benadrukt.
3. In 2018 hebben rechters van enkele lidstaten zich tot het Hof gewend met verzoeken om een prejudiciële beslissing over de vraag of bovengenoemde arresten (van 2014, 2016 en 2018) de autoriteiten van de staat een noodzakelijk instrument ter waarborging van de nationale veiligheid en ter bestrijding van criminaliteit en terrorisme zouden kunnen ontnemen.
4. Vier van die verzoeken om een prejudiciële beslissing hebben geleid tot de arresten Privacy International(10) en La Quadrature du Net e.a.(11), beide gewezen op 6 oktober 2020, die in wezen de rechtspraak in het arrest Tele2 Sverige hebben bevestigd, zij het met enkele aanvullende nuanceringen.
5. Gezien de herkomst (de Grote kamer van het Hof) en de inhoud van die arresten alsook de wens om in samenspraak met de verwijzende rechters uitvoerig uiteen te zetten welke redenen de daarin aangevoerde argumenten ondanks alles rechtvaardigen, mocht worden verwacht dat voornoemde twee „recapitulerende” arresten van 6 oktober 2020 het debat zouden hebben beslecht. Daarom zou elk nieuw verzoek om een prejudiciële beslissing over hetzelfde onderwerp normaliter leiden tot een met redenen omklede beschikking als bedoeld in artikel 99 van het Reglement voor de procesvoering van het Hof.
6. Vóór 6 oktober 2020 waren er bij het Hof evenwel al drie andere verzoeken om een prejudiciële beslissing ingekomen (de twee in de onderhavige procedure gevoegde verzoeken en het verzoek in zaak C‑140/20) waarin de rechtspraak inzake artikel 15, lid 1, van richtlijn 2002/58 opnieuw in twijfel is getrokken.
7. Het Hof heeft de verwijzende rechters gewezen op de arresten van 6 oktober 2020 voor het geval zij hun verzoeken om een prejudiciële beslissing zouden willen intrekken. Nadat zij die verzoeken hadden gehandhaafd, zoals verderop zal worden uiteengezet(12), is ervoor gekozen om artikel 99 van het Reglement voor de procesvoering niet toe te passen en de vraag te laten beantwoorden door de Grote kamer van het Hof.
I. Toepasselijke bepalingen
A. Unierecht – Richtlijn 2002/58
8. Artikel 5 („Vertrouwelijk karakter van de communicatie”), lid 1, luidt:
„De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.”
9. In artikel 6 („Verkeersgegevens”) wordt bepaald:
„1. Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.
2. Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.
[…]”
10. In artikel 15 („Toepassing van een aantal bepalingen van [richtlijn] 95/46/EG(13)”) wordt in lid 1 bepaald:
„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.”
B. Nationaal recht
1. TKG
11. In § 113a, lid 1, van het Telekommunikationsgesetz (telecommunicatiewet; hierna: „TKG”) wordt bepaald:
„De verplichtingen in verband met de bewaring, het gebruik en de beveiliging van verkeersgegevens zoals vastgesteld in § 113b tot en met § 113g hebben betrekking op aanbieders van openbaar beschikbare telecommunicatiediensten aan eindgebruikers.”
12. § 113b luidt:
„(1) De in § 113a bedoelde aanbieders moeten de gegevens op het nationale grondgebied als volgt bewaren:
1. de in de leden 2 en 3 bedoelde gegevens gedurende tien weken;
2. de in lid 4 bedoelde locatiegegevens gedurende vier weken.
(2) Aanbieders van openbare telefoondiensten bewaren
1. het nummer of een andere identificatie van de oproepende of opgeroepen aansluiting, en, in het geval van om- of doorschakeling, het nummer of een andere identificatie van elke verder gebruikte aansluiting;
2. datum en tijdstip van het begin en het einde van de verbinding, onder vermelding van de toepasselijke tijdzone;
3. informatie over de gebruikte dienst wanneer in het kader van de telefoondienst verschillende diensten kunnen worden gebruikt;
4. in het geval van mobiele telefoondiensten voorts:
a) de internationale identificaties van de mobiele abonnees voor zowel de oproepende als de opgeroepen aansluiting;
b) de internationale identificatie van het oproepende en het opgeroepen eindtoestel;
c) in het geval van prepaid diensten de datum en het tijdstip van de eerste activering van de dienst, onder vermelding van de toepasselijke tijdzone;
5. in het geval van telefoondiensten via internet tevens de internetprotocoladressen van de oproepende en de opgeroepen aansluiting en de daaraan toegewezen identificaties.
De eerste alinea is van overeenkomstige toepassing
1. in het geval van verzending van een tekst-, multimediaal of soortgelijk bericht; in dat geval wordt de in de eerste alinea, punt 2, bedoelde informatie vervangen door het tijdstip van verzending en ontvangst van het bericht;
2. op onbeantwoorde of als gevolg van een interventie door de netwerkbeheerder […] niet tot stand gekomen oproepen.
(3) Aanbieders van openbaar beschikbare internettoegangsdiensten bewaren
1. het IP-adres dat aan de abonnee is toegewezen voor gebruik van internet;
2. een duidelijke identificatie van de verbinding die toegang tot het internet mogelijk maakt, evenals het toegekende identificatienummer;
3. datum en tijdstip van het begin en het einde van het gebruik van internet vanaf het toegewezen IP-adres, onder vermelding van de toepasselijke tijdzone.
(4) Bij gebruik van mobieletelefoniediensten wordt de aanduiding van de aan het begin van de communicatie door de oproepende en de opgeroepen persoon gebruikte mobiele telefoons bewaard. Met betrekking tot openbaar beschikbare internettoegangsdiensten wordt in het geval van mobiel gebruik de aanduiding van de aan het begin van de internetverbinding gebruikte houders bewaard. De gegevens die het mogelijk maken om de geografische locatie en de hoofdstraalrichtingen van de antennes die de betrokken mobiele telefoon bedienen te bepalen, worden eveneens bewaard.
(5) De inhoud van de communicatie, de gegevens met betrekking tot de bezochte websites en de gegevens van de e-maildiensten mogen niet op grond van deze bepaling worden bewaard.
(6) De onderliggende gegevens van de in § 99, lid 2, bedoelde communicaties mogen niet op grond van deze bepaling worden bewaard. Dit geldt mutatis mutandis voor telefonische communicaties van de in § 99, lid 2, bedoelde entiteiten. § 99, lid 2, tweede tot en met zevende volzin, is van overeenkomstige toepassing.[(14)]
[…]”
13. In § 113c wordt bepaald:
„(1) De op grond van § 113b bewaarde gegevens kunnen
1. worden doorgegeven aan een rechtshandhavingsinstantie wanneer deze om doorgifte verzoekt op grond van een wettelijke bepaling ingevolge waarvan zij de in § 113b bedoelde gegevens mag verzamelen met het oog op de vervolging van bijzonder ernstige strafbare feiten;
2. worden doorgegeven aan een veiligheidsautoriteit van de deelstaten wanneer deze om doorgifte verzoekt op grond van een wettelijke bepaling ingevolge waarvan zij de in § 113b bedoelde gegevens mag verzamelen om een concreet gevaar voor de lichamelijke integriteit, het leven of de vrijheid van een persoon of voor het voortbestaan van de federale staat of een deelstaat af te wenden;
3. door de aanbieder van openbaar beschikbare telecommunicatiediensten worden gebruikt voor de verstrekking van de in § 113, lid 1, derde volzin, bedoelde informatie.
(2) De op grond van § 113b bewaarde gegevens mogen door eenieder die is onderworpen aan de verplichtingen van § 113a, lid 1, niet worden gebruikt voor andere dan de in lid 1 bedoelde doeleinden.
[…]”
14. § 113d luidt:
„De adressaat van de verplichting van § 113a, lid 1, moet ervoor zorgen dat de overeenkomstig § 113b, lid 1, op grond van de bewaringsverplichting bewaarde gegevens worden beschermd, door middel van technische en organisatorische maatregelen die in overeenstemming zijn met de stand van de techniek, tegen ongeoorloofde controle en ongeoorloofd gebruik. Deze maatregelen omvatten met name:
1. het gebruik van een bijzonder veilige encryptiemethode;
2. opslag in afzonderlijke opslagfaciliteiten die zijn gescheiden van die welke worden gebruikt voor gewone operationele taken;
3. opslag met een hoog niveau van bescherming tegen cyberaanvallen, in niet-verbonden informaticasystemen voor de verwerking van gegevens;
4. beperking van de toegang tot de voor de gegevensverwerking gebruikte faciliteiten tot personen die daartoe speciaal zijn gemachtigd door de voor de verplichting verantwoordelijke persoon; en
5. de verplichting om ten minste twee personen die beschikken over een door de voor de verplichting verantwoordelijke persoon verleende speciale machtiging toezicht te laten houden op de toegang tot de gegevens.”
15. Artikel § 113e luidt:
„(1) De ingevolge § 113a, lid 1, voor de verplichting verantwoordelijke persoon ziet erop toe dat elke toegang, inzonderheid het lezen, kopiëren, wijzigen, verwijderen en blokkeren van gegevens die op grond van de bewaringsverplichting van § 113b, lid 1, worden bewaard, wordt geregistreerd met het oog op de controle op de gegevensbescherming. Geregistreerd moeten worden:
1. het tijdstip van de toegang;
2. de personen die toegang tot de gegevens krijgen;
3. het doel en de aard van de toegang;
(2) De geregistreerde gegevens mogen niet worden gebruikt voor andere doeleinden dan de controle op de gegevensbescherming.
(3) De ingevolge § 113a, lid 1, voor de verplichting verantwoordelijke persoon ziet erop toe dat de geregistreerde gegevens na een jaar worden gewist.”
2. StPO
16. In § 100g van de Strafprozessordnung (wetboek van strafvordering; hierna: „StPO”) wordt bepaald:
„[…]
(2) Indien bepaalde feiten het vermoeden rechtvaardigen dat iemand zich als pleger of medeplichtige schuldig heeft gemaakt aan een van de in de tweede volzin bedoelde bijzonder ernstige strafbare feiten of, in gevallen dat de poging tot het plegen van een strafbaar feit strafbaar is, heeft geprobeerd dat feit te plegen en het strafbare feit in het specifieke geval ook bijzonder ernstig is, kunnen verkeersgegevens die overeenkomstig § 113b [TKG] worden bewaard, worden verzameld indien het onderzoek naar de feiten of de verblijfplaats van de verdachte anders buitensporig moeilijk of onhaalbaar zou zijn en indien het verzamelen van de gegevens in verhouding staat tot het belang van de zaak.
[…]
(4) Het overeenkomstig lid 2 […] verzamelen van verkeersgegevens die informatie kunnen opleveren die de betrokkene zou kunnen weigeren te verstrekken, is niet toegestaan […].
[…]”
17. § 101a, lid 1, StPO onderwerpt het verzamelen van verkeersgegevens overeenkomstig § 100g van die wet aan rechterlijke toestemming. Volgens § 101a, lid 2, van diezelfde wet moeten bij de rechterlijke beslissing de noodzaak en de geschiktheid van de maatregel in het specifieke geval worden afgewogen, en de rechterlijke beslissing moet worden meegedeeld aan de deelnemers aan de communicatie (§ 101a, lid 6, StPO).
II. Feiten, gedingen en prejudiciële vraag
18. SpaceNet AG en Telekom Deutschland GmbH zijn vennootschappen die in de Bundesrepublik Deutschland (Bondsrepubliek Duitsland) openbaar beschikbare internettoegangsdiensten aanbieden.
19. Deze twee vennootschappen zijn bij het Verwaltungsgericht (bestuursrechter in eerste aanleg, Duitsland) in verzet gekomen tegen de hun bij § 113a, lid 1, juncto § 113b TKG opgelegde verplichting om vanaf 1 juli 2017 telecommunicatieverkeersgegevens van hun klanten te bewaren.
20. Nadat hun respectieve vorderingen in eerste aanleg waren toegewezen, heeft het federaal netwerkenagentschap cassatieberoep (Revision) tegen beide vonnissen ingesteld bij het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland), dat heeft besloten om, alvorens uitspraak te doen, in elk van de twee procedures de volgende prejudiciële vraag voor te leggen:
„Moet artikel 15 van richtlijn 2002/58/EG in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het [Handvest], enerzijds, en artikel 6 van het [Handvest] en artikel 4 [VEU], anderzijds, aldus worden uitgelegd dat het zich verzet tegen een nationale regeling volgens welke aanbieders van openbaar beschikbare elektronische-communicatiediensten verplicht zijn om verkeers- en locatiegegevens van de eindgebruikers van deze diensten te bewaren wanneer
– deze verplichting geldt zonder specifieke grond qua plaats, tijd of ruimte;
– de volgende gegevens vallen onder de verplichting tot gegevensbewaring bij het aanbieden van openbaar beschikbare telefoondiensten – met inbegrip van het verzenden van tekst-, multimedia- of soortgelijke berichten alsook onbeantwoorde telefoonoproepen of niet tot stand gekomen communicaties –:
– het nummer of een andere identificatie van de oproepende of opgeroepen aansluiting en, in het geval van om- of doorschakeling, het nummer of een andere identificatie van elke verdere bij de communicatie betrokken aansluiting,
– datum en tijdstip van het begin en het einde van de verbinding of – in het geval van de verzending van een tekst-, multimedia of soortgelijk bericht – het tijdstip van verzending en ontvangst van het bericht onder vermelding van de toepasselijke tijdzone,
– informatie over de gebruikte dienst wanneer in het kader van de telefoondienst verschillende diensten kunnen worden gebruikt,
– in het geval van mobiele telefoondiensten voorts:
– de internationale identificaties van de mobiele abonnees voor zowel de oproepende als de opgeroepen aansluiting,
– de internationale identificatie van het oproepende en het opgeroepen eindtoestel,
– in het geval van prepaid diensten de datum en het tijdstip van de eerste activering van de dienst onder vermelding van de toepasselijke tijdzone,
– de identificaties van de cellen die bij het begin van de verbinding worden gebruikt door de oproepende en de opgeroepen aansluiting,
– in het geval van telefoondiensten via internet tevens de internetprotocoladressen van de oproepende en de opgeroepen aansluiting en de daaraan toegewezen gebruikersidentificaties,
– de volgende gegevens vallen onder de verplichting tot gegevensbewaring bij het aanbieden van openbaar beschikbare internettoegangsdiensten:
– het aan de abonnee voor het gebruik van het internet toegewezen internetprotocoladres,
– een unieke identificatie van de aansluiting die voor de toegang tot het internet wordt gebruikt en een toegewezen gebruikersidentificatie,
– datum en tijdstip van het begin en het eind van het internetgebruik via het toegewezen internetprotocoladres, onder vermelding van de toepasselijke tijdzone,
– in het geval van mobiel internetgebruik, de identificatie van de bij het begin van de verbinding gebruikte cel,
– de volgende gegevens niet bewaard mogen worden:
– de inhoud van de communicatie,
– gegevens over opgeroepen webpagina’s,
– gegevens betreffende e-maildiensten,
– gegevens van verbindingen naar of van bepaalde aansluitingen van personen, instanties en organisaties in de sociale of kerkelijke sfeer,
– locatiegegevens, dat wil zeggen de identificatiegegevens van de gebruikte cel, gedurende vier weken en de overige gegevensgedurende tien weken bewaard worden,
– een doeltreffende beveiliging van de bewaarde gegevens tegen het risico van misbruik en tegen elke vorm van onbevoegde toegang is gewaarborgd, en
– de bewaarde gegevens alleen gebruikt mogen worden ter vervolging van ernstige misdrijven en ter afwending van dreigende gevaren voor de gezondheid, het leven of de vrijheid van personen of voor de soevereiniteit van de federale staat of een deelstaat, met uitzondering van het aan de abonnee voor internetgebruik toegewezen internetprotocoladres, waarvan het gebruik is toegestaan in het kader van de verstrekking van abonneegegevens met het oog op vervolging van alle vormen van criminaliteit, afwending van gevaren voor de openbare veiligheid en de openbare orde en uitoefening van de taken van de inlichtingendiensten?”
21. Zoals de verwijzende rechter uitlegt, is de regeling betreffende de litigieuze verplichting gewijzigd bij een wet van 10 december 2015(15), waarvan de vaststelling nodig was na:
– het arrest van het Bundesverfassungsgericht (federaal grondwettelijk hof, Duitsland) van 2 maart 2010(16), waarbij de eerdere bepalingen die de gegevensbewaring regelden ongrondwettelijk waren verklaard, en
– de nietigverklaring van richtlijn 2006/24, voor de omzetting waarvan die bepalingen waren vastgesteld.
22. Volgens de verwijzende rechter vormt de litigieuze bewaringsverplichting een beperking van de in artikel 5, lid 1, artikel 6, lid 1, en artikel 9, lid 1, van richtlijn 2002/58 neergelegde rechten. In zijn opvatting is die beperking alleen gerechtvaardigd indien zij kan worden gebaseerd op artikel 15, lid 1, van die richtlijn.
23. Volgens de verwijzende rechter kan, niettegenstaande het arrest Tele2 Sverige, de verplichting die hier in het geding is mogelijk worden gebaseerd op artikel 15, lid 1, van richtlijn 2002/58, en wel om de volgende redenen:
– De nationale bepalingen schrijven niet voor dat alle telecommunicatieverkeersgegevens van alle abonnees en geregistreerde gebruikers voor alle elektronische-communicatiemiddelen moeten worden bewaard.
– De bewaringstermijn is door die bepalingen substantieel verkort (tot een maximum van tien weken) ten opzichte van de termijn die werd voorzien in de in het arrest Tele2 Sverige geanalyseerde regelingen en in richtlijn 2006/24, waardoor profilering moeilijker is geworden.
– Voor de bescherming van, de toegang tot en het gebruik van de bewaarde gegevens gelden strenge restricties.
– De litigieuze bepalingen zijn door de wetgever ingevoerd om te voldoen aan de positieve verplichtingen die voortvloeien uit het recht op veiligheid (artikel 6 van het Handvest).(17)
– Mocht het in algemene zin zo zijn dat het „zonder enige reden”(18) bewaren van gegevens niet kan worden gebaseerd op artikel 15, lid 1, van richtlijn 2002/58 (dat wil zeggen indien de wetgeving inzake de betrokken telecommunicatiemiddelen, de soorten opgeslagen gegevens, de duur van de opslag, de voorwaarden voor toegang tot die gegevens en de bescherming ervan tegen het risico van onrechtmatig gebruik niet relevant zou zijn), dan zou de speelruimte van de nationale wetgever op een gebied als dat van de vervolging van strafbare feiten en de waarborging van de openbare veiligheid, dat krachtens artikel 4, lid 2, derde volzin, VEU nog altijd een exclusieve verantwoordelijkheid van de lidstaten is, aanzienlijk worden beperkt.
– Gestreefd moet worden naar samenhang tussen de in het Handvest verankerde rechten en de overeenkomstige, door het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”) erkende rechten, zoals uitgelegd door het Europees Hof voor de Rechten van de Mens (hierna: „EHRM”), zonder daarbij afbreuk te doen aan de autonomie van het Unierecht en aan het gezag van het Hof van Justitie van de Europese Unie.
III. Procedure bij het Hof
24. De verzoeken om een prejudiciële beslissing zijn op 29 oktober 2019 ingekomen ter griffie van het Hof.
25. SpaceNet, Telekom Deutschland, de regeringen van Denemarken, Duitsland, Estland, Finland, Frankrijk, Ierland, Nederland, Polen, Spanje en Zweden en de Commissie hebben schriftelijke opmerkingen ingediend.
26. Nadat de verwijzende rechter was verzocht zich uit te spreken over de eventuele intrekking van de prejudiciële vraag na het arrest La Quadrature du Net, heeft deze op 13 januari 2021 kennisgegeven van zijn voornemen om de vraag te handhaven, aangezien die niet kon worden geacht door dat arrest te zijn beantwoord.
27. Bij de mondelinge behandeling, die heeft plaatsgevonden op 13 september 2021, tezamen met die van de verwante zaak C‑140/20, zijn naast de indieners van schriftelijke opmerkingen in de onderhavige procedure ook het federaal netwerkagentschap en de Europese Toezichthouder voor gegevensbescherming verschenen.
IV. Beoordeling
A. Overweging vooraf
28. Deze twee verzoeken om een prejudiciële beslissing kunnen worden behandeld door ze te analyseren zoals ze oorspronkelijk zijn ingediend, of, en dat heeft mijn voorkeur, aan de hand van de overwegingen die de verwijzende rechter, na kennis te hebben genomen van het arrest La Quadrature du Net, in zijn antwoord van 13 januari 2021 aan het Hof heeft aangevoerd om de handhaving van zijn verzoek te rechtvaardigen.
29. Hoewel ik de meest relevante punten van de oorspronkelijke verzoeken om een prejudiciële beslissing beknopt zal behandelen, zal ik mij concentreren op de analyse van de redenen waarom de tussenkomst van het Hof volgens de verwijzende rechter van belang blijft. Kort gezegd steunen al deze redenen op het argument dat de onderliggende wetgevingssituatie verschilt van die welke in het arrest La Quadrature du Net is onderzocht.
30. In zijn antwoord van 13 januari 2021 heeft de verwijzende rechter de volgende argumenten aangevoerd:
– De verschillen tussen enerzijds de Duitse regeling en anderzijds de Franse en de Belgische regeling waarop het arrest La Quadrature du Net betrekking heeft, zijn aanmerkelijk. In de Duitse regeling worden gegevens met betrekking tot de bezochte websites, gegevens betreffende e-maildiensten en gegevens van communicaties naar of van telefonische hulpdiensten in de sociale of kerkelijke sfeer niet bewaard.
– Een ander, nog significanter, verschil is dat de bewaringstermijn volgens § 113b, lid 1, TKG vier of tien weken bedraagt, en niet een jaar. Die factor verkleint het risico dat er een globaal profiel van de betrokkenen kan worden opgesteld.
– De Duitse regeling voorziet in een doeltreffende bescherming van de bewaarde gegevens tegen de gevaren van misbruik en onrechtmatige toegang.
– Na een recente uitspraak van het Bundesverfassungsgericht over § 113 TKG(19) is de geldigheid van dat artikel onderworpen aan voorwaarden waarvan de verenigbaarheid met het Unierecht niet eenvoudig te bepalen is.
– Over de vereisten van het Unierecht inzake IP-adressen bestaan nog steeds onzekerheden, aangezien uit het arrest La Quadrature du Net niet duidelijk kan worden opgemaakt of de bewaring ervan in algemene zin is uitgesloten, waarbij een zekere spanning tussen de punten 168 en 155 van dat arrest kan worden waargenomen.
B. Toepasselijkheid van richtlijn 2002/58
31. Ierland en de Franse, de Nederlandse, de Poolse en de Zweedse regering betogen in wezen dat richtlijn 2002/58 niet van toepassing is op nationale regelingen als die welke aan de orde zijn in deze gedingen. Aangezien die regelingen tot doel hebben om de nationale veiligheid te beschermen en ernstige strafbare feiten te voorkomen en te vervolgen, behoren zij ingevolge artikel 4, lid 2, VEU tot de exclusieve bevoegdheid van de lidstaten.
32. Dit bezwaar heeft het Hof in het arrest La Quadrature du Net uitdrukkelijk verworpen, door te verklaren dat „[u]it het voorgaande volgt dat een nationale regeling die, zoals de in de hoofdgedingen aan de orde zijnde regelingen, ten behoeve van de bescherming van de nationale veiligheid en de bestrijding van criminaliteit aan aanbieders van elektronische-communicatiediensten een verplichting tot bewaring van verkeers- en locatiegegevens oplegt, binnen de werkingssfeer van richtlijn 2002/58 valt”.(20)
33. De verwijzende rechter aanvaardt deze premisse door de beoordeling van de rechter in eerste aanleg te bevestigen en daaraan toe te voegen dat de toepasselijkheid van richtlijn 2005/58 in deze zaak „definitief [is] vastgesteld” door het arrest Tele2 Sverige.(21)
34. Om die reden zal ik verder niet uitweiden over dit punt, waarover ik mij destijds in mijn conclusie in La Quadrature du Net heb uitgesproken in de lijn die vervolgens door het Hof in die zaak is gevolgd.(22)
C. Algemene en ongedifferentieerde bewaring versus selectieve bewaring van verkeers- en locatiegegevens
35. Centraal in de rechtspraak van het Hof inzake richtlijn 2002/58 staat de gedachte dat gebruikers van elektronische-communicatiemiddelen in beginsel erop mogen vertrouwen dat hun communicatie en de daarmee verband houdende gegevens anoniem blijven en niet kunnen worden vastgelegd, tenzij zij daarmee hebben ingestemd.(23)
36. Artikel 15, lid 1, van richtlijn 2002/58 staat uitzonderingen toe op de verplichting om de vertrouwelijkheid te waarborgen en op de daarbij behorende verplichtingen, in de bewoordingen die ik hieronder zal uiteenzetten. In het arrest La Quadrature du Net is uitgebreid onderzocht hoe die uitzonderingen kunnen worden verzoend met de grondrechten waarvan de uitoefening kan worden aangetast.(24)
37. De algemene en ongedifferentieerde bewaring van alle verkeersgegevens zou volgens het Hof alleen kunnen worden gerechtvaardigd door de doelstelling van bescherming van de nationale veiligheid, waarvan het belang „dat van de andere doelstellingen die worden genoemd in artikel 15, lid 1, van richtlijn 2002/58 [overstijgt]”.(25)
38. Ten aanzien van situaties als deze (nationale veiligheid) heeft het Hof verklaard dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, „zich derhalve in beginsel niet [verzet] tegen een wettelijke maatregel op grond waarvan de bevoegde autoriteiten aan aanbieders van elektronische-communicatiediensten een bevel kunnen opleggen om de verkeers- en locatiegegevens van alle gebruikers van elektronische-communicatiemiddelen gedurende een beperkte periode te bewaren, wanneer er voldoende concrete aanwijzingen zijn dat de betrokken lidstaat wordt geconfronteerd met een ernstige bedreiging van de nationale veiligheid […] en die bedreiging werkelijk en actueel of voorzienbaar is”.(26)
39. Deze voorschriften geven ongetwijfeld aanleiding tot een strengere en striktere regeling dan die welke voortvloeit uit de rechtspraak van het EHRM inzake artikel 8 EVRM. Dat „de inhoud en reikwijdte [van de rechten]” van het Handvest die corresponderen met rechten die worden gegarandeerd door het EVRM dezelfde moeten zijn als die welke er door het EVRM aan worden toegekend, verhindert volgens artikel 52, lid 3, in fine, van het Handvest niet dat het recht van de Unie een ruimere bescherming biedt.
40. Voor het overige ziet de rechtspraak van het EHRM in zijn arresten van 25 mei 2021, Big Brother Watch e.a. tegen Verenigd Koninkrijk(27) en Centrum för Rättvisa tegen Zweden(28), en in het arrest van 4 december 2015, Roman Zakharov tegen Rusland(29), op omstandigheden die, zoals de overheersende opvatting van partijen tijdens de mondelinge behandeling was, niet vergelijkbaar zijn met die van de thans aan de orde zijnde prejudiciële vraag. Het antwoord op die vraag moet worden gevonden door toepassing van nationale regelingen die geacht worden in overeenstemming te zijn met de uitputtende regeling van richtlijn 2002/58, zoals uitgelegd door het Hof.
41. Wat men ook moge denken over het beroep op de nationale veiligheid in het arrest La Quadrature du Net als grond om onder bepaalde voorwaarden het verbod op de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens op te heffen (in mijn optiek zijn de door het Hof gestelde grenzen te ruim), de in de punten 137 tot en met 139 van dat arrest genoemde vereisten moeten in acht worden genomen.
42. Naast deze hypothese zal moeten worden onderzocht of de nationale regeling steunt op criteria die voldoende selectief zijn om te voldoen aan de voorwaarden die volgens de rechtspraak van het Hof een bijzonder ernstige inmenging, zoals de bewaring van gegevens, in de betrokken grondrechten kunnen rechtvaardigen.
43. De selectieve bewaring van verkeers- en locatiegegevens(30) is de hoeksteen van de redenering in de arresten van het Hof ter zake. Die selectie kan, onder meer, plaatsvinden aan de hand van de betrokken categorieën personen(31) of aan de hand van een geografisch criterium(32).
44. De verwijzende rechter en de meeste partijen die opmerkingen hebben ingediend, hebben gewezen op de problemen die de door het Hof gegeven criteria met zich brengen. Ikzelf heb enkele van die problemen(33) genoemd in mijn conclusie in Ordre des barreaux francophones et germanophone.(34)
45. Op die criteria gebaseerde selectieve bewaringsformules die doeltreffend en tegelijkertijd niet-discriminerend zijn, mogen echter niet worden uitgesloten. Het staat aan de nationale wetgevers, en niet aan het Hof, om die formules zodanig te ontwerpen dat de door het Handvest gegarandeerde grondrechten worden geëerbiedigd.(35)
46. Ik wil overigens opmerken dat het onjuist zou zijn om hieruit af te leiden dat de persoonlijke en geografische criteria de enige zijn die verenigbaar zijn met artikel 15, lid 1, van richtlijn 2002/58, in het licht van de door het Handvest beschermde rechten.
47. Hoewel de Franse regering stelt dat voornoemde criteria ondoeltreffend zijn gebleken(36), kunnen de door de werkgroepen van de Raad(37) voorgestelde modaliteiten om met de rechtspraak van het Hof verenigbare bewarings- en toegangsregels vast te stellen naar mijn mening niet terzijde worden geschoven(38).
48. In mijn opvatting zou de voorkeur moeten uitgaan naar een tijdelijke bewaring van bepaalde categorieën van verkeers- en locatiegegevens, die dienen te worden beperkt tot wat strikt noodzakelijk is voor de veiligheid en die het, in hun geheel bezien, niet mogelijk mogen maken dat een nauwkeurig en gedetailleerd beeld van het leven van de betrokken personen wordt verkregen. In de praktijk komt dit erop neer dat voor de twee belangrijkste gegevenscategorieën (verkeersgegevens en locatiegegevens), door toepassing van passende filters, alleen de minimumgegevens mogen worden bewaard die worden geacht absoluut noodzakelijk te zijn voor de preventie van en de doeltreffende controle op de criminaliteit en het waarborgen van de nationale veiligheid.(39)
49. Ik wil hier herhalen dat het in ieder geval aan de lidstaten of aan de instellingen van de Unie staat om, via de wetgeving (met de hulp van hun eigen deskundigen), die selectie te maken, en af te zien van enige poging om een algemene en ongedifferentieerde opslag van alle verkeers- en locatiegegevens voor te schrijven.(40)
50. Daarom heb ik in mijn conclusie in Ordre des barreaux francophones et germanophone verklaard dat het feit „[d]at het moeilijk is om in de wetgeving nauwkeurig vast te stellen in welke gevallen en onder welke voorwaarden voor gerichte bewaring moet worden gekozen – hetgeen ik erken –, [niet] rechtvaardigt […] dat de lidstaten van de uitzondering de regel maken en van de algemene bewaring van persoonsgegevens het centrale beginsel in hun wetgeving maken. Indien dat wel zo zou zijn, zou immers worden aanvaard dat het recht op bescherming van de persoonsgegevens voor onbepaalde duur met voeten wordt getreden”.(41)
D. Punt 168 van het arrest La Quadrature du Net
51. In deze context blijken de elementen die noodzakelijk zijn voor de beantwoording van de verwijzende rechter mijns inziens rechtstreeks uit de rechtspraak van het Hof aangaande artikel 15, lid 1, van richtlijn 2002/58, die is „gerecapituleerd” in het arrest La Quadrature du Net.
52. Bijgevolg moet ik vooraleerst herinneren aan de rechtspraak van het Hof in dat arrest, die in punt 168 als volgt wordt samengevat:
„[A]rtikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, [moet] aldus […] worden uitgelegd dat het zich verzet tegen wettelijke maatregelen die voor de in die bepaling genoemde doeleinden preventief voorzien in een algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens. Artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, verzet zich daarentegen niet tegen wettelijke maatregelen
– die het mogelijk maken om ten behoeve van de bescherming van de nationale veiligheid aan aanbieders van elektronische-communicatiediensten een bevel tot algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens op te leggen in situaties waarin de betrokken lidstaat wordt geconfronteerd met een werkelijke en actuele of voorzienbare bedreiging van de nationale veiligheid, wanneer de beslissing waarbij dat bevel wordt opgelegd, effectief kan worden getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit waarvan de beslissing bindend is, waarbij het doel van die toetsing is om na te gaan of een van die situaties zich voordoet en of is voldaan aan de voorwaarden en waarborgen waarin moet worden voorzien, en wanneer dat bevel slechts kan worden opgelegd voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd indien die bedreiging voortduurt;
– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een gerichte bewaring van verkeers- en locatiegegevens, die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of aan de hand van een geografisch criterium, voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd;
– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de IP‑adressen die zijn toegewezen aan de bron van een verbinding, voor een periode die niet langer is dan strikt noodzakelijk;
– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van criminaliteit en de bescherming van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de gegevens inzake de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen, en
– die het mogelijk maken om ten behoeve van de bestrijding van zware criminaliteit en, a fortiori, de bescherming van de nationale veiligheid via een aan effectieve rechterlijke toetsing onderworpen beslissing van de bevoegde autoriteit aan aanbieders van elektronische-communicatiediensten een bevel op te leggen tot spoedbewaring van de in hun handen zijnde verkeers- en locatiegegevens gedurende een bepaalde periode,
mits die maatregelen, door het gebruik van duidelijke en nauwkeurige regels, verzekeren dat de betrokken gegevens slechts worden bewaard indien aan de daarvoor geldende materiële en procedurele voorwaarden wordt voldaan, en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik.”
E. Evaluatie van de in deze prejudiciële verwijzingen aan de orde zijnde wetgeving, in het licht van het arrest La Quadrature du Net
53. Volgens de verwijzende rechter, die exclusief bevoegd is voor de uitlegging ervan, verplicht de Duitse wetgeving tot het „zonder enige reden en op algemene en niet naar persoon, tijdstip of geografisch gebied gedifferentieerde wijze opslaan van een groot deel van alle relevante telecommunicatieverkeersgegevens”.(42)
54. De litigieuze nationale regeling beperkt zich niet tot het aan de bevoegde autoriteiten verlenen van de bevoegdheid om de bewaring van verkeers- en locatiegegevens gedurende een beperkte periode te gelasten: het is de wetgever zelf die, rechtstreeks en voor onbepaalde tijd, de verplichting oplegt om die gegevens te bewaren.
55. Na deze premisse te hebben vastgesteld, heeft de verwijzende rechter in zijn antwoord van 13 januari 2021 de verschillen opgesomd tussen de nationale regeling en de regeling die in het arrest La Quadrature du Net aan de orde is, die tot een andere oplossing zouden kunnen leiden dan die welke in dat arrest is gekozen.
56. Ik zal deze verschillen analyseren in dezelfde volgorde als die waarin de verwijzende rechter ze uiteenzet, maar eerst moet ik erkennen dat de Duitse wetgever serieus heeft nagedacht over de taak om de nationale wetgeving aan te passen aan de vereisten die op dit gebied door de rechtspraak van het Hof worden gesteld.
57. Zoals de verwijzende rechter opmerkt, is de litigieuze regeling het resultaat van een wetswijziging die is ingegeven door de rechtspraak van het Bundesverfassungsgericht en door de gevolgen van de rechtspraak die is vastgesteld in het arrest Digital Rights.
58. De vooruitgang die in de litigieuze nationale regeling is geboekt verdient dan ook lof, omdat hieruit duidelijk blijkt dat men zich wil aanpassen aan de vereisten van de rechtspraak van het Hof van Justitie.
59. In de ijver om nieuwe wetgeving vast te stellen, is het accent echter mogelijk meer komen te liggen op aspecten die verband houden met de bescherming van en de toegang tot de bewaarde gegevens, en minder op aspecten die verband houden met de selectieve afbakening van de gegevens waarvan de bewaring wordt opgelegd.
1. Typologie van de bewaarde gegevens
60. De typologie van de bewaarde gegevens (er worden geen gegevens opgeslagen over de bezochte websites, de e-maildiensten en de communicaties naar of van telefonische hulpdiensten in de sociale of kerkelijke sfeer) verhult mijns inziens evenwel niet dat de algemene en ongedifferentieerde opslagverplichting zich uitstrekt tot een zeer breed scala aan andere verkeers- en locatiegegevens, die, gezamenlijk bezien, vergelijkbaar zijn met die welke in het arrest Quadrature du Net zijn onderzocht.
61. In die zin is het welhaast irrelevant, vanwege hun specifieke kenmerken en hun zeer beperkte invloed op het totale aantal communicaties(43), dat gegevens betreffende communicaties met bepaalde door personen, autoriteiten of organisaties in de sociale of religieuze sfeer beheerde telefonische hulplijnen zijn uitgesloten.
62. Evenmin is het van doorslaggevend belang dat de bewaringsverplichting niet de inhoud (van de op internet bezochte sites en van de e-mails) bestrijkt, aangezien het arrest La Quadrature du Net geen betrekking heeft op die inhoud, maar op de verkeers- en locatiegegevens van elektronische communicaties.
2. Termijn van de verplichting om de gegevens te bewaren
63. Het grootste verschil met de in het arrest La Quadrature du Net geanalyseerde nationale regeling betreft de duur van de opslag, die volgens § 113b, lid 1, TKG vier of tien weken bedraagt (vier weken voor locatiegegevens en tien weken voor de overige gegevens), en niet een jaar.
64. De verwijzende rechter en enkele ter terechtzitting vertegenwoordigde regeringen hebben deze omstandigheid onder de aandacht gebracht en benadrukt dat de litigieuze regeling de bewaringstermijn van de gegevens aanzienlijk heeft verkort. Volgens de verwijzende rechter verkleint de kortere termijn het risico dat er een globaal profiel van de betrokkenen kan worden opgesteld.
65. Zoals ik heb betoogd in mijn conclusie in Ordre des barreaux francophones et germanophone, onder verwijzing naar juist de nationale regeling die thans aan de orde is, mogen de gegevens slechts voor een bepaalde termijn worden bewaard(44), afhankelijk van de categorie waartoe zij behoren.(45)
66. Ofschoon de beperking van de bewaringstermijn in de tijd een relevant element voor de beoordeling van de litigieuze regeling vormt, kan die omstandigheid niet opwegen tegen het feit dat daarin een algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens wordt opgelegd.
67. Zoals ik reeds heb uiteengezet, mogen volgens de rechtspraak van het Hof, los van de omstandigheid die haar rechtvaardiging vindt in de bescherming van de nationale veiligheid, gegevens betreffende elektronische communicaties alleen selectief worden opgeslagen, gezien het ernstige risico dat de algemene bewaring ervan met zich mee zou brengen.
68. Het is dit risico dat de rechtspraak van het Hof ter zake duidelijk heeft geïnspireerd: „[V]erkeers‑ en locatiegegevens [kunnen] informatie […] prijsgeven over een groot aantal aspecten van het privéleven van de betrokken personen, waaronder ook gevoelige informatie, zoals seksuele geaardheid, politieke opvattingen, religieuze, filosofische, maatschappelijke of andersoortige overtuigingen en gezondheid, terwijl dergelijke gegevens bovendien in het Unierecht bijzondere bescherming genieten. Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren. In het bijzonder kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die, wat het recht op bescherming van het privéleven betreft, even gevoelig is als de inhoud zelf van de communicatie”.(46)
69. Een in de tijd zeer beperkte bewaring kan, zoals de verwijzende rechter ook stelt, profilering zeker bemoeilijken.
70. De omvang van de moeilijkheid in dit verband wordt echter niet alleen bepaald door de lengte van de bewaringstermijn, maar ook door de kwantiteit en kwaliteit van de bewaarde gegevens: hoe groter de hoeveelheid bewaarde gegevens, hoe groter de mogelijkheid om gedurende bepaalde tijdsperioden gevoelige informatie te verkrijgen, waarvan de draagwijdte op zijn beurt zal afhangen van de ontwikkeling van de technieken voor de controle, correlatie en evaluatie van het geheel aan elektronische-communicatiegegevens. Wat vandaag misschien onvoldoende tijd is om informatie in te zamelen om profielen op te stellen, kan in de toekomst meer dan voldoende zijn om dat wel te doen.(47)
71. Volgens het Hof „[is] [d]e inmenging in de grondrechten die zijn verankerd in de artikelen 7 en 8 van het Handvest, welke inmenging voortvloeit uit de toegang van een overheidsinstantie tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur, […] echter hoe dan ook ernstig van aard, ongeacht de duur van de periode waarvoor toegang wordt gevraagd tot die gegevens en ongeacht de hoeveelheid of de aard van de gegevens die voor een dergelijke periode beschikbaar zijn, wanneer […] uit deze gegevens nauwkeurige conclusies kunnen worden getrokken met betrekking tot de persoonlijke levenssfeer van de betrokkene(n)”.(48)
72. Samenvattend ben ik van mening dat, niettegenstaande de door de verwijzende rechter vastgestelde verschillen, de overeenkomsten op dit punt tussen de litigieuze regeling die aan de orde is in de hoofdgedingen en de wetgeving die is onderzocht in de procedures die hebben geleid tot het arrest La Quadrature du Net, het niet mogelijk maken de in dat arrest vastgestelde rechtspraak buiten beschouwing te laten.
3. Bescherming van de gegevens versus onrechtmatige toegang
73. Volgens de verwijzende rechter voorziet de Duitse regeling in een doeltreffende bescherming van de bewaarde gegevens tegen de gevaren van misbruik en onrechtmatige toegang.
74. Zonder iets af te doen aan de wetgevingsinspanningen op het gebied van de bescherming van gegevens en de toegang daartoe, mag volgens het Hof niet worden vergeten dat „de bewaring van verkeers- en locatiegegevens als zodanig […] een inmenging in de […] grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens vormt”.(49) In dit verband vormt „de toegang tot die gegevens, ongeacht het latere gebruik ervan, op zichzelf al een inmenging” in de genoemde grondrechten.(50)
75. Het is derhalve niet relevant dat de door de Duitse wetgever vastgestelde regeling voor de bescherming van bewaarde gegevens: a) de vrijwaring van die gegevens daadwerkelijk waarborgt, b) de toegangsvoorwaarden strikt en doeltreffend afbakent en de kring van de personen die toegang tot de gegevens hebben beperkt, en c) het gebruik van de opgeslagen gegevens alleen toestaat voor het onderzoek naar ernstige misdrijven en ter voorkoming van specifieke risico’s voor het leven of de vrijheid van personen of de veiligheid van de staat.
76. Wat hier daadwerkelijk beslissend is, is dat, zoals de verwijzende rechter ook herhaalt, de litigieuze bewaringsverplichting als zodanig aan geen enkele specifieke voorwaarde is gebonden.
4. Invloed van het arrest van het Bundesverfassungsgericht van 27 mei 2020
77. De verwijzende rechter verwijst naar een uitspraak van het Bundesverfassungsgericht over § 113 TKG(51), ten gevolge waarvan de geldigheid van dat artikel, na de ongrondwettigverklaring ervan, zou zijn onderworpen aan voorwaarden waarvan de verenigbaarheid met het Unierecht niet eenvoudig te bepalen zijn.
78. Het Hof van Justitie spreekt zich thans niet uit over de gevolgen van dat arrest, laat staan over de vorm van de nieuwe regeling die de Duitse wetgever zal moeten vaststellen (of reeds heeft vastgesteld).
79. Indien, zoals de verwijzende rechter stelt, zijn arrest in Revision moet worden gebaseerd op het recht zoals dat geldt op de datum van het arrest, zal hij zelf moeten beoordelen of dat recht verenigbaar is met het Unierecht, gelet op de bestaande rechtspraak van het Hof inzake de bescherming van elektronische-communicatiegegevens.
5. IP-adressen
80. Volgens de verwijzende rechter volgt uit punt 168 van het arrest La Quadrature du Net dat het Hof vereist dat de bewaring van IP-adressen wordt gerechtvaardigd door verwijzing naar de doelstelling van het waarborgen van de nationale veiligheid, het bestrijden van ernstige criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid. Uit punt 155 zou echter kunnen worden afgeleid dat deze IP-adressen kunnen worden bewaard zonder dat daarvoor een specifieke grond nodig is, en dat alleen het gebruik van de bewaarde gegevens een met die doelstelling verband houdende grond zou vereisen.
81. Ik zie die spanning evenwel niet (en zeker geen tegenstrijdigheid). Waar in punt 155 wordt verklaard dat de algemene en ongedifferentieerde bewaring van de aan de bron van een verbinding toegewezen IP‑adressen „in beginsel niet in strijd is met artikel 15, lid 1, van richtlijn 2002/58”, wordt in het daaropvolgende punt 156 gepreciseerd dat „[g]elet op het feit dat die bewaring een ernstige inmenging inhoudt in de grondrechten […], […] enkel de bestrijding van zware criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid, alsmede de bescherming van de nationale veiligheid, die inmenging [kunnen] rechtvaardigen […]”.
82. De gezamenlijke lezing van de punten 155 en 156 van het arrest La Quadrature du Net leidt derhalve tot het coherente antwoord dat het Hof in punt 168 van dat arrest heeft gegeven op de destijds gestelde prejudiciële vragen inzake de bewaring van IP-adressen.
83. Tijdens de mondelinge behandeling zijn bepaalde problemen – die volgens sommige interveniënten verduidelijking door het Hof vereisen – met betrekking tot de bewaring van IP-adressen aan de orde gesteld. De oplossing voor deze problemen (met name die welke worden veroorzaakt door het verschil tussen dynamische en statische IP-adressen en door de gevolgen van het Ipv6-protocol) overstijgt mijns inziens de vraag van de verwijzende rechter, wiens oorspronkelijke verzoeken om een prejudiciële beslissing(52) en schrijven van 13 januari 2021 op dit punt een veel beperktere strekking hebben.
V. Conclusie
84. Gelet op een en ander geef ik het Hof in overweging om het Bundesverwaltungsgericht te antwoorden als volgt:
„Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in samenhang met de artikelen 7, 8, 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie en artikel 4, lid 2, VEU, moet aldus worden uitgelegd dat het zich verzet tegen een nationale regeling die aanbieders van openbaar beschikbare elektronische-communicatiediensten preventief verplicht tot de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens van eindgebruikers van die diensten voor andere doeleinden dan de bescherming van de nationale veiligheid tegen een werkelijke en actuele of voorzienbare ernstige bedreiging.”