Medlemsstaterne må ikke pålægge udbydere af elektroniske kommunikationstjenester en generel og vilkårlig logningsforpligtelse

22 december 2016

EU-Domstolen har i dag afsagt dom i Watson/Tele2-sagen, hvor både den svenske og britiske logningslovgivning bliver udfordret som i strid med retten til privatliv og databeskyttelse, der begge er garanteret i EU-charteret.

EU-Domstolen har fulgt sin afgørelse i Digital Rights Ireland, der fastlagde, at kun under visse meget strenge omstændigheder er logning tilladt under EU-retten.

Domstolen har nu i Watson/Tele2 fastslået, at EU-retten helt er til hinder for en generel og vilkårlig logning af telekommunikationsdata, og at medlemsstaterne kun kan vedtage lovgivning som en forebyggende foranstaltning for målrettet lagring af data for udvalgte personer og alene med det formål at bekæmpe grov kriminalitet. Dette lever den danske logningsbekendtgørelse ikke op til i dag, der kræver logning af alt telekommunikationsdata om enhver, idet indsnævringen til mistanke først sker i forbindelse med adgang til den pågældende data.

Baggrund - logning i EU efter at logningsdirektivet i 2014 blev erklæret ugyldigt

De præjudicielle spørgsmål fremsat til EU-Domstolen af både den engelske og svenske nationale domstol opstod i lyset af EU-Domstolens afgørelse i Digital Rights Irland- dommen fra 2014. Domstolen erklærede i den forbindelse EU logningsdirektivet (2006/24/EF) ugyldigt som værende i strid med artikel 7 (privatliv), 8 (personoplysninger) og 52 (1) (proportionalitet) i EU-charteret. Domstolens begrundelse var, at kravene til logning af data i henhold til logningsdirektivet ikke var strengt nødvendige og ikke var ledsaget af strenge krav til adgangen til den loggede data, opbevaringsperioden og sikkerheden omkring den opbevarede data.

Afgørelsen i Digital Rights Irland skabte retlig usikkerhed med hensyn til medlemsstaternes nationale logningslovgivning, og resulterede i ophør eller begrænsning af sådan lovgivning i visse medlemsstater.

I Sverige nægtede teleoperatøren Tele2 at overholde den svenske logningsforpligtelse efter Digital Rights Irland og informerede den lokale NRA (Post-och Telestyrelsen) om, at den ikke længere ville opbevare data, samt foreslog at slette den eksisterende opbevarede logningsdata. Tele2 blev herefter sagsøgt af Post-och Telestyrelsen, og det er denne sag, der nu er endt for EU-Domstolen. I Storbritannien fandt High Court, at S.1 af Data Retention and Investigatory Powers Act 2014 (den britiske logningslovgivning også kaldet DRIPA) var uforenelig med EU-retten. Den britiske regering appellerede afgørelsen, og også den britiske sag resulterede i henvisninger til EU-Domstolen. Det er disse to samlede sager, der blev behandlet af EU-Domstolen i Watson/Tele2.

Rettens afgørelse – EU-retten er til hinder for national lovgivning, der tillader en generel og vilkårlig logning af trafikdata og lokaliseringsdata

For det første bekræfter Domstolen, at nationale logningsregler er omfattet af EU-retten.

I henhold til artikel 1, stk. 3, i E-databeskyttelsesdirektivet (2002/58) omfatter direktivets anvendelsesområde ikke medlemsstaternes aktiviteter indenfor det strafferetlige område og områderne for den offentlige sikkerhed, forsvaret og statens sikkerhed.

Artikel 15, stk. 1, i E-databeskyttelsesdirektivet regulerer muligheden for at begrænse rækkevidden af rettigheder og forpligtelser i E-databeskyttelsesdirektivet, når det er nødvendigt af hensyn til statens sikkerhed.

Selvom de formål, som logning skal forfølge, derved stærkt overlapper formålene i artikel 1, stk. 3, finder EU-Domstolen, at behandling af personoplysninger af udbydere af elektroniske kommunikationstjenester er omfattet af E-databeskyttelsesdirektivet af følgende grunde:

  1. Direktivet finder anvendelse på behandling af personoplysninger af udbydere af elektroniske kommunikationstjenester i henhold til artikel 3 i E-databeskyttelsesdirektivet.

  2. Direktivet tillader medlemsstaterne at give de nationale myndigheder adgang til de data, der opbevares af disse udbydere, under visse omstændigheder.

  3. Artikel 15 (1) ville miste ethvert formål, hvis direktivet ikke fandt anvendelse i den pågældende situation.

E-databeskyttelsesdirektivet finder således både anvendelse med hensyn til national lovgivning, der pålægger udbyderne at logge data, samt national lovgivning vedrørende adgangen til sådanne data. (Domstolen afviser i den forbindelse det engelske argument om, at »adgangen til oplysninger« ikke er omfattet af direktivet).

For det andet har Domstolen fastslået, at den nationale lovgivning, som den omhandlede (engelske og svenske lovgivning om logning), overskrider rettighederne og garantierne i EU-charteret.

Lovgivningen overskrider grænserne for, hvad der er strengt nødvendigt, og lovgivningen kan derudover ikke undtages efter artikel 52, stk. 1 i EU-chartret om proportionelle og berettigede indgreb.

Overordnet fastlår EU-domstolen, at følgende skal være opfyldt for at retfærdiggøre nationale logningsregler:

  1. Datalogningens formål skal være begrænset til grov kriminalitet

    Henset til alvoren af indgrebet i den grundlæggende ret til privatliv og databeskyttelse kan formålet med logning alene begrundes i bekæmpelsen af grov kriminalitet. I England kunne logning eksempelvis også anvendes til almindelig kriminalitet og civile retsbrud, herunder håndhævelsen af ophavsret.

  2. Medlemsstaterne må kun indføre målrettet datalogning

    Med henblik på at bekæmpe grov kriminalitet kan medlemsstaterne som en forebyggende foranstaltning vedtage lovgivning, der tillader logning af trafik- og lokaliseringsdata, forudsat at logningen er begrænset til 1) kategorierne af data, der skal logges, 2) de omhandlede kommunikationsmidler, 3) de berørte personer og 4) den fastsatte varighed af lagringen.

    I den forbindelse skal den nationale lovgivning fastsætte klare og præcise regler, der regulerer, hvornår logningsforanstaltninger er tilladt, og især angive under hvilke omstændigheder og på hvilke betingelser, der kan vedtages logningsforanstaltninger.

  3. Den målrettede logning skal være begrænset til, hvad der er strengt nødvendigt

    1. National lovgivning skal fastsætte objektive kriterier med hensyn til, hvornår data må logge og hvornår myndigheder kan få adgang til disse data

      For at sikre at logningsforanstaltninger er begrænset til, hvad der er strengt nødvendigt, skal logningen opfylde objektive kriterier mellem de data, der skal logges og det forfulgte mål.

      Den nationale lovgivning skal være baseret på objektive forhold, der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse (direkte eller indirekte) til grov kriminalitet, bidrage til bekæmpelse af grov kriminalitet på den ene eller den anden måde eller forhindre en alvorlig fare for den offentlige sikkerhed.

      I den forbindelse henviser Domstolen til muligheden for at bruge en geografisk begrænsning til at afgøre, om der i et eller flere geografiske områder er en forhøjet risiko for, at sådan kriminalitet bliver planlagt eller begået.

    2. Adgang må kun gives til den loggede data for personer, der mistænkes for at planlægge, begå eller har begået en alvorlig lovovertrædelse eller for at blive indblandet på den ene eller anden måde i en sådan forbrydelse

      Idet en generel adgang til alle lagrede data, uanset om der er nogen sammenhæng (i det mindste indirekte) med henblik på at bekæmpe alvorlig kriminalitet, ikke kan anses for begrænset til det strengt nødvendige, kan man som hovedregel kun give adgang til det lagrede data for personer, der mistænkes for at planlægge, begå eller har begået en alvorlig lovovertrædelse eller for at blive indblandet på den ene eller anden måde i en sådan forbrydelse.

      I særlig situationer, såsom når vitale interesser for nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed, er Domstolen imidlertid åben over for, at der gives adgang til andre personers data, når det kan antages at bidrage effektivt til bekæmpelsen af terror.

    3. De nationale myndigheders adgang til de lagrede data skal være undergivet en forudgående kontrol af en domstol eller uafhængig administrativ enhed

      For at sikre, at de ovennævnte betingelser overholdes fuldt ud, er det vigtigt, at adgangen til lagrede data er underlagt uafhængig forudgående kontrol undtagen i hastende situationer.

  4. De nationale myndigheder, som har fået adgang til de lagrede data, skal underrette de berørte personer, så snart underretningen ikke kan skade disse myndigheders efterforskning

    For at sikre retten til et retsmiddel skal de personer, hvis data myndighederne har fået adgang til, orienteres, så snart anmeldelsen ikke længere kan skade den pågældende efterforskning.

  5. Udbydere af elektronisk kommunikation skal sikre effektiv beskyttelse og sikkerhed ved hjælp af passende tekniske og organisatoriske foranstaltninger

    Mængden af lagret data, følsomheden af disse data og risikoen for ulovlig adgang til disse data gør, at der skal være tale om særlige sikkerhedskrav.

    Derudover skal medlemsstaterne sikre, at en uafhængig databeskyttelsesmyndighed fører tilsyn med overholdelsen af det beskyttelsesniveau, som EU-retten sikrer på området for databehandling.

  6. Den lagrede data skal opbevares inden for EU’s område og skal destrueres ved udløbet af lagringsperioden

    EU-Domstolen bekræfter derved, at de lagrede data ikke må overføres til et land uden for EU.


 Bird & Bird kommentar                            

EU-Domstolen har dermed afgjort, at kun i de tilfælde, hvor alle ovennævnte krav er opfyldt, tillades målrettede logningsforpligtelser i henhold til artikel 15, stk. 1, i E-databeskyttelsesdirektivet sammenholdt med artikel 7,8 og 11 samt 52, stk. 1, i chartret.

Domstolen understreger endvidere, hvad den oprindeligt anførte i Digital Rights Ireland; at kun under visse meget strenge betingelser er logningsforpligtelser og adgangen til den lagrede data tilladt i henhold til EU-retten.

Det er herefter op til medlemsstaterne at vurdere, hvorvidt deres nuværende eller fremtidige logningsregler er forenelige med EU-retten, som fortolket af EU-Domstolen i Digital Rights Ireland og Tele2/Watso- sagerne.

Hvad angår Danmark, blev den aktuelle logningsbekendtgørelse nr. 988 af 2006 ændret efter Digital Rights Ireland, idet et særligt dansk krav om internetsessionslogning blev ophævet. Alligevel lever logningsbekendtgørelsen i sin nuværende form ikke op til den nye afgørelse i Tele2/Watson. Dette er begrundet i, at Danmark har en generel datalogningsforpligtelse for udbydere uden nogen begrænsninger til geografiske områder, til gruppen af registrerede personer eller den registrerede data. Derudover sker der ikke nogen underretning til registrerede personer.

Regeringen har planer om at introducere ny lovgivning i januar 2017, der skal erstatte logningsbekendtgørelsen. Tele2/Watson afgørelsen er derfor yderst relevant i denne henseende, og det bliver interessant at følge, om bekendtgørelsen ophæves i sin helhed, om den nye lovgivning mere kommer til at ligne reglerne for indgreb i meddelelseshemmeligheden, eller om man i Danmark fastholder sin ret til at have en generel datalogningsforpligtelse på trods af Tele2/Watson afgørelsen. Derudover er det selvfølgelig interessant, hvorvidt de nuværende logningsregler bliver håndhævet frem til sådan afklaring af den danske retstilstand.