EU-note - 2013-14 - E 22: EU-Domstolen underkender logningsdirektivet

SammenfatningEU-Domstolen har i en principiel dom erklæret EU’s logningsdirektiv fra2006 for ugyldigt. Domstolen fastslår navnlig, at direktivet strider modproportionalitetsprincippet i forbindelse med retten til respekt for privatli-vet og retten til beskyttelse af personoplysninger, som fastsat i artikel 7og 8 i EU’s Charter for grundlæggende rettigheder. Dommen giver dogsamtidig EU-lovgiver nogle anvisninger til, hvordan eventuelle nye reglerpå området kan leve op til EU-retten.Dommen har også sat gang i overvejelser om, hvordan medlemsstaterneskal forholde til deres nationale gennemførelsesbestemmelser til direkti-vet, nu hvor direktivet ikke længere er gældende.

EU-Domstolen har i en principiel dom af 8. april 2014 kendt EU-direktivet om1lagring af data fra 2006 (kaldet logningsdirektivet) ugyldigt da det er i stridmed den grundlæggende ret til beskyttelse af privatlivets fred og retten tilbeskyttelse af personoplysninger.Hvad gik sagen ud på?Spørgsmålet om lovgivningsdirektivets gyldighed blev indbragt for EU-Domstolen i forbindelse med to præjudicielle forelæggelser fra dels den irskehøjesteret dels den østrigske forfatningsdomstol.I den irske sag skulle den irske højesteret (HighCourt)behandle en sag mel-lem det irske selskab Digital Rights og de irske myndigheder om lovlighedenaf de irske regler om lagring af data vedrørende elektronisk kommunikation.I den østrigske sag havde en lang række sagsøgere bedt den østrigske for-fatningsdomstol (Verfassungsgerichtshof) om at afgøre overensstemmelsenmed den østrigske forfatning af de østrigske gennemførelsesbestemmelser tillogningsdirektivet.Således bad de to domstole EU-Domstolen om at tage stilling til logningsdi-rektivets gyldighed, bl.a. i lyset af to grundlæggende rettigheder i EU’s Char-ter om grundlæggende rettigheder, nemlig- retten til respekt for privatlivet (artikel 7 i Charteret)- retten til beskyttelse af personoplysninger (artikel 8 i Charteret).

LogningsdirektivetLogningsdirektivet fra 2006 harmoniserer EU-landene bestemmelser om lag-ring af visse data, der er genereret eller behandlet af udbydere af offentligttilgængelige elektroniske kommunikationstjenester eller af et offentligt kom-munikationsnet.Indsamlingen af disse data skal sætte de offentlige myndigheder i stand til atforebygge, efterforske, afsløre og retsforfølge grov kriminalitet, især organise-ret kriminalitet og terrorisme. Direktivet pålægger derfor udbyderne at lagretrafikdata, lokaliseringsdata samt lignende data, der er nødvendige for at iden-

Hvad siger Domstolen?Domstolen indleder med at fastslå, at de data, udbyderne skal lagre ifølgelogningsdirektivet, bl.a. gør det muligt at få at vide, med hvem og med hvilketmiddel en abonnent eller en registreret bruger har kommunikeret, at fastlæg-ge kommunikationens varighed samt det sted, hvorfra kommunikationen fandtsted, og at gøre sig bekendt med frekvensen af abonnentens eller den regi-strerede brugers kommunikationer med visse personer i en given periode.Disse data kan derfor samlet give” […] meget præcise oplysninger om privatlivet for de perso-ner, som data er lagret for, såsom dagligdagsvaner, faste ellermidlertidige opholdssteder, udøvede aktiviteter, sociale relati-2oner og de sociale miljøer, de færdes i”

Ifølge Domstolen gør direktivets krav om lagring af disse data og de nationalemyndigheders adgang til disse data derfor i særligt alvorlig grad indgreb i dengrundlæggende ret til respekt for privatliv og beskyttelse af personoplysnin-ger. Domstolen tilføjer i den forbindelse, at:” … den omstændighed, at lagring og efterfølgende anvendel-se af data sker, uden at abonnenten eller den registreredebruger informeres derom, i de pågældende personers bevidst-hed skabe en følelse af, at deres privatliv er genstand for kon-3stant overvågning”

Efter at have konstateret, at der foreligger et indgreb i grundlæggende rettig-heder går Domstolen over til at undersøge, om indgrebet alligevel kan beretti-ges.Her fastslår Domstolen indledningsvis, at direktivets krav til lagring af data,ikke er af en karakter, der kan krænke det væsentlige indhold af de grund-læggende rettigheder til respekt for privatliv og beskyttelse af personoplysnin-ger. Direktivet giver nemlig ikke myndighederne mulighed for at gøre sig be-kendt med indholdet af den elektroniske kommunikation som sådan og be-

stemmer, at udbydere af tjenester eller telenet skal overholde visse principperom beskyttelse og sikkerhed vedrørende data.Endvidere tjener lagring af data med henblik på udlevering til de nationalemyndigheder rent faktisk et formål af almen interesse, nemlig at bekæmpegrov kriminalitet samt i sidste ende den offentlige sikkerhed.Domstolen finder imidlertid, at EU-lovgiver overskred de grænser, der følgeraf proportionalitetsprincippet da den vedtog logningsdirektivet.Domstolen bemærker i denne forbindelse, at selv om direktivets krav om lag-ring af data kan være egnet til at gennemføre direktivets formål om bekæm-pelse af grov kriminalitet og terrorisme, er det omfattende og særligt alvorligeindgreb i disse rettigheder ikke tilstrækkeligt afgrænset med henblik på atsikre, at det pågældende indgreb rent faktisk er begrænset til det ”strengt4nødvendige” .Domstolen når derfor frem til, at logningsdirektivet skal annulleres i sin hel-hed.Dommen giver råd til EU-lovgiverneEU-Domstolens dom indeholder en klar og principiel underkendelse af log-ningsdirektivet fra 2006 med henvisning til retten til privatlivets fred og beskyt-telsen af personoplysninger samt proportionalitetsprincippet.Men Domstolen anerkender også behovet for en regulering af indsamling afdata til brug for bekæmpelse af terror og grov kriminalitet og dermed beskyt-telsen af den offentlige sikkerhed. Derfor kan Domstolens præmisser ogsålæses som en vejledning til EU-lovgiver om, hvad denne skal tage hensyn til iet fremtidigt regelsæt.Her kan særligt følgende præmisser fremhæves:For det første henviser Domstolen til, at logningsdirektivet genereltomfattersamtlige enkeltpersoner, elektroniske kommunikationsmidler og trafik-data.Direktivet opstiller derfor ”ikke nogen sondring, begrænsning eller und-5tagelse i forhold til formålet om bekæmpelse af grov kriminalitet” .

For det andet finder Domstolen,at direktivet ikke fastsætter noget objek-tivt kriterium,der gør det muligt at sikre, at de nationale myndigheder kunhar adgang til data og kun kan anvende disse til at forebygge, afsløre ellerforetage retsforfølgning i straffesager, der er så alvorlige, at de kan berettigeindgreb i de grundlæggende rettigheder. Tværtimod henviser direktivet alenetil »grov kriminalitet«, der skal defineres af hver enkelt medlemsstat i deres6nationale ret . Adgangen til data er navnligikke betinget af en forudgåendekontrolaf en retsinstans eller af en uafhængig administrativ enhed.Hvad for det tredje angårvarigheden af lagringen af datafastsætter direkti-vet denne tilseks måneder uden nogen sondring mellem kategorier afdata.Endvidere ligger varigheden mellem minimum seks måneder og maksi-mum 24 måneder, uden at direktivet præciserer de objektive kriterier, pågrundlag af hvilke varigheden af lagringen skal fastlægges, så der sikres enbegrænsning til det strengt nødvendige.Domstolen fastslår også, at direktivetikke fastsætter tilstrækkelige garan-tier,der gør det muligt at sikre en effektiv beskyttelse af data mod misbrugsamt mod ulovlig adgang til og benyttelse af data.Domstolen kritiserer endelig, at direktivet ikke påbyder, at data skal lagres påEU’s område og derfor ikke lever op til EU-chartrets krav om at datalagringenskal være underlagt en uafhængig myndigheds kontrol.

Hvad sker der nu?Der er næppe nogen tvivl om, at Europa-Kommissionen allerede er gået igang med at analysere dommen, så den hurtigst muligt kan fremsætte forslagtil et nyt direktiv om lagring af data, der overholder proportionalitetsprincippetog de grundlæggende rettigheder i Charteret.I EU-landene er man også i færd med at overveje, hvad man skal gøre medde nationale bestemmelser, der er vedtaget til gennemførelse af direktivet.Dommen annullerer nemlig ”kun” logningsdirektivet, som derfor ikke længerepålægger medlemsstaterne en pligt til at indsamle og lagre data til brug forterror- og kriminalitetsbekæmpelse.I Danmark er direktivet gennemført ved logningsbekendtgørelsen.