Förenade målen C‑793/19 och C‑794/19
Bundesrepublik Deutschland
mot
SpaceNet AG
och
Telekom Deutschland GmbH
(begäran om förhandsavgörande från Bundesverwaltungsgericht)
Domstolens dom (stora avdelningen) av den 20 september 2022
”Begäran om förhandsavgörande – Behandling av personuppgifter inom sektorn för elektronisk kommunikation – Konfidentialitet vid kommunikation – Leverantörer av elektroniska kommunikationstjänster – Generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter – Direktiv 2002/58/EG – Artikel 15.1 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 6, 7, 8, 11 och 52.1 – Artikel 4.2 FEU”
1. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Tillämpningsområde – Nationell lagstiftning som ålägger leverantörer av elektronisk kommunikation att lagra trafik- och lokaliseringsuppgifter – Ändamål att skydda nationell säkerhet och att bekämpa brottslighet – Omfattas
(Artikel 4.2 FEU; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, artiklarna 1.1, 1.3, 3 och 15.1)
(se punkt 48)
2. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Rätt för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som ålägger leverantörer av elektronisk kommunikation att generellt och odifferentierat lagra trafik- och lokaliseringsuppgifter – Ändamål att bekämpa allvarlig brottslighet och förhindra allvarliga hot mot den allmänna säkerheten – Otillåtet – Varaktigheten av den generella och odifferentierade lagringen av dessa uppgifter – Saknar betydelse – Nationella åtgärder avseende lagring av vissa kategorier av uppgifter – Ändamål att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet – Tillåtet – Villkor
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)
(se punkterna 49–75, 77–81, 83–85, 87–94, 97–99, 110, 113, 116–121 och 127–131 samt domslutet)
Resumé
Domstolen har under de senaste åren i flera domar prövat frågan om lagring av och tillgång till personuppgifter på området för elektroniska kommunikationer.(1)
Nyligen bekräftade domstolen, genom domen La Quadrature du Net m.fl.,(2) meddelad av stora avdelningen den 6 oktober 2020, den praxis som bygger på domen Tele2 Sverige och Watson m.fl.,(3) att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter avseende elektronisk kommunikation är oproportionerlig. Den lämnade även vissa preciseringar angående bland annat omfattningen av de befogenheter som medlemsstaterna ges enligt direktiv om integritet och elektronisk kommunikation för att lagra sådana uppgifter i syfte att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet.
I de förevarande två förenade målen har två beslut att begära förhandsavgörande getts in av Bundesverwaltungsgericht (Federala högsta förvaltningsdomstolen, Tyskland), till vilken Förbundsrepubliken Tyskland överklagat två domar genom vilka den talan som väckts av SpaceNet AG (mål C‑793/19) och Telekom Deutschland GmbH (mål C‑794/19), två bolag som levererar internetanslutningstjänster, bifallits. Genom respektive talan bestred dessa bolag den skyldighet de ålagts enligt tysk lag(4) att lagra trafik- och lokaliseringsuppgifter hänförliga till sina kunders elektroniska kommunikationer.
Den hänskjutande domstolens tvivel rör bland annat huruvida en nationell lagstiftning som ålägger leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster att, särskilt i syfte att bekämpa allvarliga brott eller förebygga konkreta risker för den nationella säkerheten, generellt och odifferentierat lagra flertalet trafik- och lokaliseringsuppgifter avseende dessa tjänsters slutanvändare, och därvid föreskriver en lagringstid på flera veckor och regler som syftar till att säkerställa ett effektivt skydd mot missbruk av eller otillåten åtkomst till de lagrade uppgifterna är förenlig med direktivet om integritet och elektronisk kommunikation,(5) jämfört med Europeiska unionens stadga om de grundläggande rättigheterna (stadgan)(6) och artikel 4.2 FEU.
Genom sin dom bekräftar domstolen (stora avdelningen) den praxis som bygger på domen La Quadrature du Net m.fl., och mer nyligen domen Commissioner of An Garda Síochána m.fl., samtidigt som den preciserar dess räckvidd.(7) Domstolen erinrar bland annat om att det inte är tillåtet att generellt och odifferentierat lagra trafik- och lokaliseringsuppgifter avseende elektroniska kommunikationer i förebyggande syfte för att bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet.
Domstolens bedömning
Domstolen börjar med att bekräfta att direktivet om integritet och elektronisk kommunikation är tillämpligt på den nationella lagstiftning som målet rör. Den går därefter metodiskt igenom de principer som följer av dess praxis, innan den detaljerat granskar de särdrag i den aktuella nationella lagstiftningen som har framhållits av den hänskjutande domstolen.
Vad gäller omfattningen av de uppgifter som lagras påpekar domstolen att den lagringsskyldighet som föreskrivs i den nationella lagstiftning som är aktuell i målet omfattar en mycket stor mängd trafik- och lokaliseringsuppgifter och att den berör nästan alla personer som ingår i befolkningen, även om dessa inte, ens indirekt, befinner sig i en situation som kan leda till straffrättsliga påföljder. Den påpekar även att det i denna lagstiftning föreskrivs att merparten av alla trafik- och lokaliseringsuppgifter ska lagras, generellt och utan differentiering i fråga om person, tidpunkt eller geografisk plats, utan krav på skäl, och att dessa uppgifter till sin omfattning i princip motsvarar de lagrade uppgifter som var i fråga i de mål som avgjordes genom domen La Quadrature du net m.fl. Mot bakgrund av denna rättspraxis finner domstolen att en sådan lagringsskyldighet som den som är aktuell i de nationella målen inte kan anses utgöra en riktad lagring av uppgifter.
Därefter, vad gäller lagringstiden för uppgifterna, erinrar domstolen om att det av direktivet om integritet och elektronisk kommunikation(8) framgår att den lagringstid som föreskrivs i en nationell bestämmelse som föreskriver en generell och odifferentierad lagring förvisso är en relevant faktor bland andra för att avgöra huruvida unionsrätten utgör hinder för en sådan åtgärd, eftersom det i nämnda direktiv krävs att lagringstiden ska vara ”begränsad”. Frågan hur allvarligt ingreppet är beror emellertid på hur stor risken är för att det med hjälp av de sammantagna lagrade uppgifterna, bland annat med hänsyn till deras antal och mångfald, blir möjligt att dra mycket precisa slutsatser om privatlivet för den eller de personer vilkas uppgifter har lagrats och, i synnerhet, att upprätta en profil för den eller de berörda personerna, vilket är en lika känslig information med avseende på rätten till respekt för privatlivet som själva innehållet i kommunikationerna. Lagring av trafik- eller lokaliseringsuppgifter är således under alla omständigheter av allvarlig art, oberoende av lagringstidens längd och mängden eller arten av de uppgifter som lagras, för det fall att dessa samlade uppgifter gör det möjligt att dra sådana slutsatser.(9)
Slutligen, när det gäller de garantier som syftar till att skydda de lagrade uppgifterna mot riskerna för missbruk och otillåten åtkomst, påpekar domstolen – med hänvisning till sin tidigare praxis – att lagringen av och tillgången till uppgifterna utgör separata ingrepp i de berörda personernas grundläggande rättigheter, vilka kräver en separat motivering. Av detta följer att det inte kan anses att en nationell lagstiftning som säkerställer ett fullständigt iakttagande av de villkor som följer av rättspraxis avseende tillgången till lagrade uppgifter, på grund av att den har denna beskaffenhet begränsar eller ens avhjälper det allvarliga ingrepp som en sådan generell lagring av dessa uppgifter innebär i de berörda personernas rättigheter.
Dessutom, för att besvara argument som framförts i målet, påpekar domstolen, för det första, att ett hot mot den nationella säkerheten måste vara verkligt och faktiskt eller åtminstone förutsebart, vilket förutsätter att det föreligger tillräckligt konkreta omständigheter, för att motivera en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter under en begränsad tid. Ett sådant hot skiljer sig således till sin art, sitt allvar och den specifika karaktären på de omständigheter som hotet består i, från den allmänna och ständiga risken för oroligheter eller störningar, även allvarliga sådana, av den allmänna säkerheten eller risken för allvarliga brott. Således kan brottslighet, även allvarlig sådan, inte likställas med ett hot mot den nationella säkerheten.
Den påpekar, för det andra, att det skulle strida mot rangordningen av de mål av allmänt samhällsintresse som kan motivera en åtgärd enligt direktivet om integritet och elektronisk kommunikation(10) att i syfte att bekämpa grov brottslighet tillåta tillgång till trafik- och lokaliseringsuppgifter som lagrats generellt och odifferentierat i syfte att hindra ett allvarligt hot mot nationell säkerhet. Detta skulle nämligen innebära att tillgången till uppgifterna motiverades av ett syfte av mindre betydelse än det syfte som låg till grund för lagringen, nämligen skyddet för den nationella säkerheten, vilket skulle medföra en risk för att förbudet mot en generell och odifferentierad lagring i syfte att bekämpa grov brottslighet förlorade sin ändamålsenliga verkan.
Domstolen finner, och bekräftar därigenom sin tidigare praxis, att direktivet om integritet och elektronisk kommunikation, jämfört med stadgan, utgör hinder för nationella lagstiftningsåtgärder som i förebyggande syfte, för att bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver att det ska ske en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter.
Direktivet utgör däremot inte hinder för nationella lagstiftningsåtgärder som, för att skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster åläggs att på ett generellt och odifferentierat sätt lagra trafik- och lokaliseringsuppgifter i situationer där den berörda medlemsstaten står inför ett allvarligt hot mot nationell säkerhet som har visat sig vara verkligt och aktuellt eller förutsebart. Domstolen preciserar i detta sammanhang att beslutet om åläggande av nämnda lagringsskyldighet måste kunna bli föremål för en effektiv kontroll antingen av en domstol eller av en oberoende myndighet, vars avgörande har bindande verkan, i syfte att kontrollera om någon av dessa situationer föreligger och att de villkor och garantier som måste ställas upp är uppfyllda. Vidare får åläggandet endast meddelas för en period som måste vara tidsmässigt begränsad till vad som är strängt nödvändigt, men som kan förlängas om hotet fortfarande kvarstår.
Detta direktiv, jämfört med stadgan, utgör inte heller hinder för nationella lagstiftningsåtgärder som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en riktad lagring av trafik- och lokaliseringsuppgifter vilken, på grundval av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas.
Detsamma gäller nationella lagstiftningsåtgärder som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en generell och odifferentierad lagring av IP-adresser som har tilldelats källan till en internetanslutning, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt, samt av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel, vars lagring obestridligen kan bidra till bekämpandet av grov brottslighet, i den mån uppgifterna gör det möjligt att identifiera de personer som använt sådana medel i samband med förberedandet eller utförandet av en handling som utgör grov brottslighet.
Detsamma gäller lagstiftningsåtgärder som, för att bekämpa grov brottslighet eller, i ännu högre grad, skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster genom ett beslut från behörig myndighet, vilket ska kunna bli föremål för en effektiv domstolskontroll, åläggs att, under en begränsad tidsperiod, skyndsamt säkra de trafik- och lokaliseringsuppgifter som dessa tjänsteleverantörer har tillgång till.
Domstolen anger emellertid att alla dessa ovannämnda åtgärder, genom klara och precisa regler, måste säkerställa att lagringen av uppgifterna i fråga iakttar tillämpliga materiella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk. Dessa olika åtgärder kan, enligt den nationella lagstiftarens val och med iakttagande av gränserna för vad som är strängt nödvändigt, tillämpas samtidigt.