1.

Domstolen har de senere år opretholdt en fast praksis med hensyn til lagring af og adgang til personoplysninger, i hvilken forbindelse følgende domme fremhæves som milepæle:

2.

Disse domme (især den anden) bekymrer myndighederne i visse medlemsstater, eftersom de efter disse myndigheders opfattelse fratager dem et instrument, som de anser for nødvendigt for at beskytte den nationale sikkerhed og bekæmpe kriminalitet og terrorisme. Derfor har nogle af disse medlemsstater opfordret til, at denne retspraksis ændres eller nuanceres.

3.

Visse af medlemsstaternes domstole har givet udtryk for samme bekymring i fire anmodninger om præjudiciel afgørelse ( 7 ), med hensyn til hvilke jeg også fremsætter mit forslag til afgørelse i dag.

4.

De fire sager rejser først og fremmest en problemstilling i forbindelse med anvendelsen af direktiv 2002/58 på aktiviteter, der er forbundet med den nationale sikkerhed og bekæmpelsen af terrorisme. Hvis dette direktiv finder anvendelse i denne sammenhæng, må det i det følgende afklares, i hvilket omfang medlemsstaterne kan begrænse den ret til privatlivets fred, som direktivet beskytter. Endelig skal det undersøges, i hvilket omfang de forskellige nationale lovgivninger (den britiske ( 8 ), den belgiske ( 9 ) og den franske ( 10 )) på dette område er i overensstemmelse med EU-retten som fortolket af Domstolen.

5.

Da Cour constitutionnelle (forfatningsdomstol, Belgien) blev bekendt med Digital Rights-dommen, annullerede den den nationale lovgivning, som delvist havde gennemført direktiv 2006/24, som blev erklæret ugyldigt i nævnte dom, i national ret. Den belgiske lovgiver vedtog derefter en ny lovgivning, hvorom der nu er opstået tvivl om, hvorvidt den er forenelig med EU-retten som følge af dommen i sagen Tele2 Sverige og Watson.

6.

En særlig omstændighed ved denne anmodning om præjudiciel afgørelse er, at den nævner muligheden for midlertidigt at opretholde virkningerne af en national bestemmelse, som de nationale retter må annullere, idet den er uforenelig med EU-retten.

7.

I følgende afsnit henviser jeg til mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18.

8.

Artikel 4 bestemmer, at artikel 126 i loi du 13 juin 2005 relative aux communications électroniques ( 12 ) skal affattes således:

»1.   Uden at det berører loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [lov af 8.12.1992 om beskyttelse af privatlivets fred i forbindelse med behandling af personoplysninger] skal udbydere af telefontjenester til offentligheden, herunder IP-telefoni, internetadgang, e-mailtjenester, operatører, der udbyder offentlige elektroniske kommunikationsnet, samt operatører, der udbyder en af disse tjenester, lagre de data, der er omhandlet i stk. 3, der genereres eller behandles af disse i forbindelse med levering af de pågældende elektroniske kommunikationstjenester.

Denne artikel omfatter ikke indholdet af kommunikationen.

[…]

2.   Det er alene følgende myndigheder, der har ret til efter anmodning at indhente de data, der lagres i henhold til denne artikel, fra de i stk. 1, første afsnit, nævnte udbydere og operatører til de formål og på de betingelser, der er opregnet nedenfor:

De udbydere og operatører, der er omhandlet i stk. 1, første afsnit, skal sikre, at der er ubegrænset adgang til de data fra Belgien, der er omhandlet i stk. 3, og at disse data og alle øvrige oplysninger, der er nødvendige vedrørende disse data, kan overføres straks og kun til de myndigheder, der er omhandlet i nærværende stykke.

Med forbehold af andre lovbestemmelser kan de udbydere og operatører, der er omhandlet i stk. 1, første afsnit, ikke anvende de data, der er lagret i henhold til stk. 3 til andre formål.

3.   Data til identifikation af brugeren eller abonnenten og kommunikationsmidlerne med undtagelse af de data, der er specifikt nævnt i andet og tredje afsnit, skal lagres i 12 måneder regnet fra datoen, hvor en meddelelse er mulig for sidste gang ved hjælp af den anvendte tjeneste.

Data vedrørende terminaludstyrets adgang og forbindelse til nettet og lokaliseringen af dette udstyr, herunder nettermineringspunktet skal lagres i 12 måneder regnet fra datoen for meddelelsen.

Kommunikationsdata med undtagelse af indholdet, herunder deres oprindelse og destination, skal lagres i 12 måneder regnet fra datoen for meddelelsen.

Kongen fastsætter ved bekendtgørelse godkendt af Ministerrådet og efter forslag fra justitsministeren og ministeren og efter udtalelse fra kommissionen for beskyttelse af privatlivet og instituttet de data, der skal lagres efter type af de kategorier, der er omhandlet i første til tredje afsnit, samt de krav, som de pågældende data skal opfylde.

4.   Hvad angår lagringen af de data, der er omhandlet i stk. 3, skal de udbydere og operatører, der er omhandlet i stk. 1, første afsnit:

Den sporbarhed, der er omhandlet i stk. 7, udføres ved hjælp af et register. Instituttet og kommissionen for beskyttelse af privatlivet har adgang til dette register eller kan kræve en kopi af hele eller en del af registret. Instituttet og kommissionen for beskyttelse af privatlivet udarbejder en samarbejdsprotokol vedrørende opnåelse af kendskab og en prøvelse af registrets indhold.

5.   Ministeren eller justitsministeren sender hvert år statistikker om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet til Repræsentantkammeret.

Disse statistikker omfatter navnlig:

Statistikkerne må ikke indeholde personoplysninger.

[…]«

9.

Artikel 5 bestemmer, at der indsættes en artikel 126/1 i lov af 2005 med følgende ordlyd:

»1.   Under hver operatør og hver udbyder, der er omhandlet i artikel 126, stk. 1, første afsnit, indføres en koordinerende enhed, der har til opgave – efter anmodning – at give de retligt beføjede belgiske myndigheder adgang til de data, der er lagret i henhold til artikel 122, 123 og 126, identifikationsdata fra den, der foretager et opkald i henhold til artikel 107, stk. 2, første afsnit, eller data, der kan kræves udleveret i henhold til strafferetsplejelovens artikel 46a, 88a og 90b samt artikel 18/7, 18/8, 18/16 og18/17 i [lov af 1998].

[…]

2.   Hver operatør og hver udbyder, der er omhandlet i artikel 126, stk. 1, første afsnit, skal fastsætte en intern procedure, der gør det muligt at behandle myndighedernes anmodninger om adgang til personoplysninger vedrørende brugerne. De skal på begæring stille oplysninger til rådighed for instituttet om deres procedurer, antallet af modtagne anmodninger, det påberåbte retsgrundlag samt deres afgørelse.

[…]

3.   Hver udbyder og hver operatør, der er omhandlet i artikel 126, stk. 1, første afsnit, udpeger en eller flere ansvarlige til beskyttelse af personoplysninger, som skal opfylde de kumulative betingelser, der er opregnet i stk. 1, tredje afsnit.

[…]

Den ansvarlige for beskyttelse af personoplysninger skal ved udførelsen af sine opgaver handle fuldstændig uafhængigt og skal have adgang til alle personoplysninger, der overføres til myndighederne og til alle relevante lokaler tilhørende udbyderen eller operatøren.

[…]

4.   Kongen fastsætter ved bekendtgørelse, der behandles i Ministerrådet efter udtalelse fra kommissionen for beskyttelse af privatlivet og instituttet:

[…]

[…]«

10.

Artikel 8 bestemmer, at strafferetsplejelovens artikel 46a, stk. 1, affattes som følger:

»1.   Ved efterforskningen af strafbare handlinger og lovovertrædelser kan den offentlige anklager ved begrundet og skriftlig afgørelse, med den bistand, der er nødvendig fra operatøren af et elektronisk kommunikationsnet, fra leverandøren af en elektronisk kommunikationsydelse eller fra en politimyndighed, der er udpeget af Kongen, på grundlag af alle de oplysninger, den råder over, eller ved hjælp af en adgang til kunderegistre for operatøren eller leverandøren, foretage eller lade foretage:

Begrundelsen skal afspejle forholdsmæssigheden i forhold til overholdelsen af retten til respekt for privatlivet og er subsidiær i forhold til enhver anden efterforskningsforpligtelse.

I særligt hastende tilfælde kan en ansat ved de retshåndhævende myndigheder, med den offentlige anklagers mundtlige og forudgående godkendelse, og på grundlag af en begrundet og skriftlig afgørelse, begære disse oplysninger udleveret. Den ansatte ved de retshåndhævende myndigheder meddeler denne begrundede og skriftlige afgørelse samt de indhentede oplysninger inden for 24 timer til den offentlige anklager og skal desuden føre bevis for den særligt hastende karakter.

For overtrædelser, der ikke kan medføre en fængselsstraf på et år eller mere, kan den offentlige anklager, eller i særligt hastende tilfælde retshåndhævelsespersonale, kun anmode om de data, der er omhandlet i stk. 1, for en periode på seks måneder forud for den offentlige anklagers afgørelse.

2.   Enhver operatør af et elektronisk kommunikationsnet og enhver leverandør af en elektronisk kommunikationstjeneste, der har pligt til at fremlægge de data, der er omhandlet i stk. 1, giver den offentlige anklager eller ansatte ved de retshåndhævende myndigheder de data, hvorom der er indgivet anmodning, inden for frist, der fastsættes af kongen […].

[…]

Enhver, der i kraft af sit embede har kendskab til foranstaltningen eller bistår heri, er underlagt tavshedspligt. Enhver overtrædelse af tavshedspligten straffes i henhold til straffelovens artikel 458.

Afslag på at fremlægge data straffes med bøde på 26 til 10000 EUR.«

11.

Artikel 9 bestemmer, at strafferetsplejelovens artikel 88a affattes som følger:

»1.   Såfremt der foreligger seriøse indicier på, at overtrædelserne kan medføre en fængselsstraf på et år eller mere, og såfremt undersøgelsesdommeren finder, at der foreligger omstændigheder, der gør sporing af elektronisk kommunikation eller lokalisering af den elektroniske kommunikations kilde eller dens bestemmelsessted nødvendig for at afklare sagens forhold, kan dommeren enten direkte eller via en politimyndighed udpeget af kongen, med hjælp af den tekniske bistand, der er nødvendig fra operatøren af et elektronisk kommunikationsnet, fra leverandøren af en elektronisk kommunikationsydelse, anordne følgende:

I de tilfælde, der er omhandlet i første afsnit, skal der for hvert enkelt elektronisk kommunikationsmiddel, hvis opkaldsdata spores, eller hvoraf telekommunikationens kilde eller bestemmelsessted lokaliseres, angives dato, klokkeslæt og varighed, og om fornødent stedet for den elektroniske kommunikation, og det hele nedfældes i et referat.

Undersøgelsesdommeren skal i en begrundet kendelse angive de faktiske omstændigheder i sagen, der begrunder foranstaltningen, grunden til, at foranstaltningen er forholdsmæssig i forhold til retten til respekt af privatlivets fred og subsidiær i forhold til enhver anden efterforskningsforpligtelse.

Undersøgelsesdommeren skal ligeledes præcisere perioden, hvorunder foranstaltningen kan finde anvendelse fremtidigt, og denne periode kan ikke overstige to måneder regnet fra kendelsen, uden at dette påvirker muligheden for forlængelse og i givet fald den tidligere periode, som kendelsen i overensstemmelse med stk. 2 strækker sig over.

[…]

2.   Hvad angår anvendelsen af den foranstaltning, der er omhandlet i stk. 1, første afsnit, på trafik- og lokaliseringsdata, der skal lagres i henhold til artikel 126 i lov af […] 2005 […], finder følgende bestemmelser anvendelse:

3.   Foranstaltningen må ikke vedrøre en advokats eller læges elektroniske kommunikationsmidler, såfremt denne er mistænkt for at have begået en overtrædelse, der er omfattet af stk. 1, eller at have deltaget deri, eller såfremt præcise faktiske omstændigheder lader formode, at tredjemænd, der er mistænkt for at have begået en overtrædelse, som er omfattet af stk. 1, anvender dennes elektroniske kommunikationsmidler.

Foranstaltningen kan ikke gennemføres, uden at advokatsamfundets formand eller en repræsentant for provinsens lægeråd efter omstændighederne underrettes derom. De samme personer underrettes af undersøgelsesdommeren om de oplysninger, som denne sidstnævnte finder henhører under tavshedspligten. Disse oplysninger nedfældes ikke i referatet.

4.   […]

Enhver, der i kraft af sit embede har kendskab til foranstaltningen eller bistår heri, er underlagt tavshedspligt. Enhver overtrædelse af tavshedspligten straffes i henhold til straffelovens artikel 458.

[…]«

12.

I henhold til artikel 12 affattes artikel 13 i lov af 1998 som følger:

»Efterretnings- og sikkerhedstjenesterne kan efterforske, indsamle, modtage og behandle personoplysninger og persondata, der kan være til gavn ved udførelsen af deres opgaver og kan ajourføre dokumentation for bl.a. begivenheder, grupper og personer, der kan være relevante for udførelsen af deres opgaver.

Oplysningerne i dokumentationen skal have en forbindelse med registrets formål og skal begrænse sig til de krav, der følger deraf.

Efterretnings- og sikkerhedstjenesterne skal sikre beskyttelse af de data, der vedrører deres kilder og for personoplysninger og persondata, der leveres af disse kilder.

Agenterne fra efterretnings- og sikkerhedstjenesterne skal have adgang til oplysningerne, efterretningerne og personoplysningerne, der indsamles og behandles af deres tjenestegrene, for så vidt som de er brugbare ved udøvelsen af deres funktion eller opgave.«

13.

Artikel 14 ændrer ordlyden af artikel 18/3, der har nu følgende ordlyd:

»1.   De specifikke metoder for indsamling af data, der er omhandlet i artikel 18/2, stk. 1, kan gennemføres på baggrund af den potentielle trussel, der er omhandlet i artikel 18/1, såfremt de almindelige metoder for indsamling af data anses for utilstrækkelige til at indhente de oplysninger, der er nødvendige for en efterretningsopgave. Den specifikke metode skal vælges på grundlag af graden af alvor med hensyn til den potentielle trussel, for hvilken den iværksættes.

Den specifikke metode kan først iværksættes efter en skriftlig og begrundet afgørelse fra myndighedschefen og efter meddelelse af denne afgørelse til Kommissionen.

2.   Myndighedschefens afgørelse skal angive:

[…]

[…]

8.   Myndighedschefen afslutter den specifikke metode, når den potentielle trussel, der begrundede den, ikke længere er til stede, når metoden ikke længere er hensigtsmæssig for det formål, den blev iværksat for, eller såfremt der konstateres en retsstridighed. Myndighedschefen skal så hurtigt som muligt underrette kommissionen om sin afgørelse.«

14.

Artikel 18/8 i lov af 1998 affattes således:

»1.   Efterretnings- og sikkerhedstjenesterne kan med henblik på at udføre deres opgaver eventuelt ved at anmode om teknisk bistand fra en operatør af et elektronisk kommunikationsnet eller fra en udbyder af en elektronisk kommunikationstjeneste foretage eller lade foretage:

[…]

2.   Hvad angår anvendelsen af den metode, der er omhandlet i stk. 1, på de data, der lagres i henhold til artikel 126 i lov af […] 2005 […], finder følgende bestemmelser anvendelse:

15.

Ved dom af 11. juni 2015 ( 14 ) annullerede Cour constitutionnelle (forfatningsdomstol) den nye udgave af artikel 126 i lov af 2005 af de samme grunde, som havde fået Domstolen til i Digital Rights-dommen at fastslå, at direktiv 2006/24 var ugyldigt.

16.

Som følge af denne annullation vedtog den nationale lovgiver (inden dommen i sagen Tele2 Sverige og Watson blev afsagt) lov af 29. maj 2016.

17.

VZ m.fl., Ordre des barreaux francophones et germanophone (herefter »Ordre des barreaux«), Liga voor Mensenrechten ASBL (herefter »Liga«), Ligue des Droits de l’Homme ASBL (herefter »Ligue«) og Académie Fiscale ASBL (herefter »Académie Fiscale«) anlagde ved den forelæggende ret forskellige sager med påstand om, at den nævnte lov var forfatningsstridig, hvori de i det væsentlige gjorde gældende, at loven gik ud over det strengt nødvendige og ikke sikrede tilstrækkelige garantier.

18.

På denne baggrund har Cour constitutionnelle (forfatningsdomstol) forelagt Domstolen følgende præjudicielle spørgsmål:

19.

Anmodningen om præjudiciel afgørelse indgik til Domstolen den 2. august 2018.

20.

VZ m.fl., Académie Fiscale, LMR, LDH, Ordre des barreaux, Fondation pour Enfants Disparus et Sexuellement Exploités (Child Focus), den belgiske, den tjekkiske, den danske og den tyske regering, Irland, den spanske, den estiske, den franske, den cypriotiske, den ungarske, den nederlandske, den polske og den svenske regering og Det Forenede Kongeriges regering samt Kommissionen har afgivet skriftlige indlæg.

21.

Den 9. september 2019 blev der afholdt et retsmøde, som blev afholdt samtidig med retsmøderne i sag C-511/18, C-512/18 og C-623/17, med deltagelse af parterne i de fire præjudicielle procedurer, de ovennævnte regeringer samt den norske regering, Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse.

22.

Det første spørgsmål i denne anmodning er i det væsentlige sammenfaldende med de spørgsmål, der er blevet forelagt i de forenede sager C-511/18 og C-512/18. Det adskiller sig imidlertid fra sidstnævnte for så vidt angår de formål, som den nationale lovgivning forfølger: Der er ikke udelukkende tale om bekæmpelse af terrorisme og de groveste former for kriminalitet eller beskyttelse af den nationale sikkerhed, men derimod også »forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet« og generelt alle de i artikel 23, stk. 1, i forordning 2016/679 nævnte formål.

23.

Det andet spørgsmål er forbundet med det første, men supplerer det, idet det hermed ønskes oplyst, om de positive forpligtelser, der påhviler den offentlige myndighed med hensyn til efterforskning af og retshåndhævelse over for seksuelt misbrug af mindreårige, begrunder de omtvistede foranstaltninger.

24.

Det tredje spørgsmål forelægges i det tilfælde, at den nationale lov er uforenelig med EU-retten. Den forelæggende ret ønsker oplyst, om den i så fald midlertidigt kan opretholde virkningerne af lov af 29. maj 2016.

25.

Jeg vil behandle disse spørgsmål, idet jeg først undersøger, om direktiv 2002/58 finder anvendelse, i hvilken henseende jeg henviser til mine forslag til afgørelse vedrørende andre af disse præjudicielle forelæggelser. Derefter vil jeg opsummere de vigtigste retningslinjer i Domstolens praksis på dette område samt mulighederne for at udvikle denne praksis. Endelig vil jeg besvare de enkelte præjudicielle spørgsmål.

26.

Ligesom i de tre øvrige præjudicielle forelæggelser er der i denne sag blevet rejst tvivl om, hvorvidt direktiv 2002/58 finder anvendelse. På grund af ligheden mellem de synspunkter, som medlemsstaterne har gjort gældende desangående, henviser jeg på dette punkt til mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18 ( 15 ).

27.

Bestemmelserne i direktiv 2002/58 »specificerer og supplerer« direktiv 95/46/EF ( 16 ) med henblik på at sikre et højt niveau i beskyttelsen personoplysninger i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester ( 17 ).

28.

Det fremgår af artikel 5, stk. 1, i direktiv 2002/58, at medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter.

29.

Kommunikationshemmeligheden indebærer bl.a. (artikel 5, stk. 1, andet punktum, i direktiv 2002/58) et forbud mod, at andre end brugerne lagrer trafikdata forbundet med elektronisk kommunikation, uden at de pågældende brugere har indvilliget heri. Undtaget herfra er »de personer, for hvilke det lovligt er tilladt […], og de tilfælde, hvor den tekniske lagring er nødvendig for overføring af en kommunikation« ( 18 ).

30.

Artikel 5 og 6 samt artikel 9, stk. 1, i direktiv 2002/58 har til formål at bevare hemmeligheden for så vidt angår kommunikationen og de dermed forbundne trafikdata og mindske risikoen for misbrug til et absolut minimum. Deres rækkevidde skal vurderes i lyset af 30. betragtning til direktivet, hvoraf det fremgår, at »[s]ystemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum« ( 19 ).

31.

Med hensyn til disse data kan der sondres mellem:

32.

I henhold til artikel 15, stk. 1, i direktiv 2002/58 kan medlemsstaterne »vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1-4, og artikel 9« i dette direktiv.

33.

Enhver indskrænkning skal være »nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46[…]«.

34.

Denne opregning af hensyn er udtømmende ( 22 ): Som et eksempel (»bl.a.«) tillades »retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke«.

35.

Under alle omstændigheder skal »[a]lle i dette stykke omhandlede forskrifter […] være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2«. Artikel 15, stk. 1, i direktiv 2002/58 skal således fortolkes i lyset af de grundlæggende rettigheder, som er sikret ved chartret ( 23 ).

36.

Af disse rettigheder, som er sikret ved chartret, har Domstolen, for så vidt som det er relevant i denne sag, nævnt retten til respekt for privatlivet (artikel 7), retten til beskyttelse af personoplysninger (artikel 8) og retten til ytringsfrihed (artikel 11) ( 24 ).

37.

Som en retningslinje for fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 har Domstolen ligeledes fremhævet, at begrænsningen af pligten til at sikre hemmeligheden for så vidt angår kommunikationen og de dermed forbundne trafikdata skal fortolkes strengt.

38.

Domstolen har nærmere bestemt afvist, »at en fravigelse af denne principielle pligt og navnlig af det i direktivets artikel 5 fastsatte forbud mod at lagre disse data bliver hovedreglen, idet rækkevidden af den sidstnævnte bestemmelse ellers i høj grad ville blive udhulet« ( 25 ).

39.

Denne todelte bemærkning forekommer mig at være afgørende for forståelsen af, hvorfor Domstolen har fastslået, at generel og udifferentieret lagring af trafikdata og lokaliseringsdata vedrørende elektronisk kommunikation er uforenelig med direktiv 2002/58.

40.

Med denne erklæring har Domstolen blot foretaget en »åbenbar« ( 26 ) anvendelse af proportionalitetskriteriet, som den havde anvendt tidligere ( 27 ): »[B]eskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan kræver, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige« ( 28 ).

41.

Domstolen har anerkendt, at bekæmpelse af grov kriminalitet, og navnlig organiseret kriminalitet og terrorisme, er af afgørende betydning for at sikre den offentlige sikkerhed, og at effektiviteten heraf i vidt omfang kan være afhængig af anvendelse af moderne efterforskningsteknikker. Domstolen har tilføjet, at »[e]t sådant mål af almen interesse […] imidlertid, hvor grundlæggende det end er, ikke i sig selv [kan] begrunde, at en foranstaltning med henblik på datalagring som den, der er indført med direktiv 2006/24, anses for nødvendig af hensyn til bekæmpelsen af grov kriminalitet« ( 29 ).

42.

For at afgøre, om en foranstaltning af denne type er begrænset til det strengt nødvendige, har Domstolen især fremhævet, at indgrebet i de grundlæggende rettigheder, der er fastsat i chartrets artikel 7 og 8, er særligt alvorligt ( 30 ). Denne særligt alvorlige karakter skyldes netop, at den nationale lovgivning foreskrev »en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation, og at den uden undtagelse forpligter udbyderne af elektroniske kommunikationstjenester til at lagre disse data systematisk og uafbrudt« ( 31 ).

43.

Det indgreb, som denne foranstaltning medførte i borgernes liv, afspejles i disse bemærkninger fra Domstolen om virkningerne af lagringen af data.

Disse data ( 32 )

44.

Indgrebet kan desuden »skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning«, eftersom »lagringen af data finder sted, uden at brugerne af de elektroniske kommunikationstjenester oplyses herom« ( 37 ).

45.

Henset til alvoren af indgrebet er det alene bekæmpelse af grov kriminalitet, som kan begrunde en sådan foranstaltning vedrørende lagring af data ( 38 ). En sådan foranstaltning må imidlertid ikke blive hovedreglen, idet »den ved direktiv 2002/58 indførte ordning opstiller et krav om, at denne lagring af data skal være undtagelsen« ( 39 ).

46.

Den omstændighed, at den foranstaltning, der er genstand for efterprøvelsen, hverken foreskrev »[en] form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål« ( 40 ) eller »kræver [en] sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed« ( 41 ), havde to konsekvenser:

47.

På denne baggrund overskred den undersøgte nationale lovgivning derfor det strengt nødvendige. Derfor kunne den i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1 ( 44 ).

48.

Domstolen har fastslået, at en national lovgivning, der »som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet« ( 45 ), er forenelig med EU-retten.

49.

Gyldigheden af denne målrettede lagring af data er betinget af, at den »begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen«.

50.

De retningslinjer, som dommen i sagen Tele2 Sverige og Watson opstiller for vurderingen af, hvornår disse betingelser er opfyldt, er ikke udtømmende (måske kunne de ikke være det) og er snarere angivet generelt. For at overholde dem skal medlemsstaterne:

51.

Med hensyn til disse objektive elementer nævner Domstolen muligheden for at anvende et geografisk kriterium til at afgrænse personkredsen og de potentielt omfattede situationer som et eksempel. Henvisningen til dette kriterium, som visse medlemsstater har udtrykt sig kritisk om, har efter min opfattelse ikke til formål at begrænse rækken af godkendte faktorer for målrettethed til dette kriterium alene.

52.

Domstolen har behandlet spørgsmålet om de nationale myndigheders adgang til data uanset rækkevidden af forpligtelsen til lagring, som påhviler udbydere af elektroniske kommunikationstjenester, og navnlig spørgsmålet om, hvorvidt en lagring af data er generel eller målrettet ( 49 ).

53.

Selv om formålet med lagring er at sikre en efterfølgende adgang til dataene, kan begge foranstaltninger medføre forskellige tilsidesættelser af de grundlæggende rettigheder, som er sikret ved chartret. Denne sondring betyder imidlertid ikke, at nogle af betragtningerne med hensyn til lagringen ikke også finder anvendelse på adgangen til de lagrede data.

54.

I denne forbindelse skal adgangen:

55.

På baggrund af det ovenstående kan det fastslås, at »en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige« ( 54 ).

56.

Domstolen har fastslået, at »den pågældende nationale lovgivning således [skal] være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til abonnenters eller registrerede brugeres data« ( 55 ). I denne henseende »kan der i forbindelse med målet om bekæmpelse af kriminalitet i princippet kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse« ( 56 ).

57.

De nationale bestemmelser, der giver de kompetente nationale myndigheder adgang til de lagrede data, skal med andre ord have en tilstrækkeligt afgrænset rækkevidde. Der skal være en forbindelse mellem de berørte personer og det forfulgte mål, således at adgangen ikke omfatter et betydeligt antal personer, eller endda samtlige personer, samtlige midler til elektronisk kommunikation og samtlige lagrede data.

58.

Disse regler kan imidlertid tilpasses under visse omstændigheder. Domstolen har nævnt »særlige situationer, såsom de situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed«. I sådanne situationer »kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed« ( 57 ).

59.

Denne præcisering fra Domstolen tillader medlemsstaterne at indføre en mere omfattende særordning for adgang til data, når det undtagelsesvis er nødvendigt for at bekæmpe trusler mod statens grundlæggende interesser (den nationale sikkerhed, forsvaret og den offentlige sikkerhed) ( 58 ), således at den også omfatter personer, som kun indirekte er forbundet med disse risici.

60.

De nationale myndigheders adgang til de lagrede data skal uanset typen af data opfylde tre krav:

61.

I denne sag ønskedes det oplyst, om en national lovgivning, der giver de kompetente myndigheder adgang til data vedrørende den civile identitet på indehaverne af SIM-kort, var forenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8.

62.

Domstolen bemærkede, at artikel 15, stk. 1, første punktum, i direktiv 2002/58 ikke begrænser formålet om forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser til kun at omfatte bekæmpelse af alvorlige forbrydelser, men tager sigte på »straffesager« generelt ( 62 ).

63.

Domstolen tilføjede, at der for at begrunde de kompetente nationale myndigheders adgang til datene bør være overensstemmelse mellem indgrebets alvor og grovheden af de pågældende lovovertrædelser. Dermed:

64.

På denne baggrund og i modsætning til det, der skete i dommen i sagen Tele2 Sverige og Watson, kvalificerede Domstolen ikke indgrebet i de rettigheder, der var beskyttet ved chartrets artikel 7 og 8, som »alvorligt«, eftersom anmodningen om adgang »kun [havde] til formål at identificere indehaverne af de SIM-kort, der i en periode på 12 dage blev aktiveret med den stjålne mobiltelefons IMEI-kode« ( 65 ).

65.

For at fremhæve indgrebets mindre alvorlige karakter forklarede Domstolen, at » de data, der er omfattet af den i hovedsagen omhandlede anmodning om adgang, kun gør det muligt i en bestemt periode at sammenkæde det eller de SIM-kort, der er blevet aktiveret med den stjålne mobiltelefon, med indehaverne af disse SIM-korts identitet. Uden sammenholdning af data vedrørende den kommunikation, der er foretaget med de nævnte SIM-kort, med lokaliseringsdata, gør disse data det hverken muligt at kende datoen, tidspunktet, varigheden og modtagerne af den kommunikation, der er foretaget med det eller de omhandlede SIM-kort, eller de steder, hvor denne kommunikation har fundet sted eller hyppigheden heraf med visse personer i en bestemt periode. De nævnte data gør det dermed ikke muligt at drage præcise slutninger vedrørende privatlivet for de personer, hvis data er omhandlet« ( 66 ).

66.

I den sag, der blev afgjort ved Ministerio Fiscal-dommen, ønskedes det ikke oplyst, om de personoplysninger, der var genstand for adgangen, var blevet lagret af udbyderne af elektroniske kommunikationstjenester under overholdelse af de betingelser, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8 ( 67 ). Spørgsmålet om, hvorvidt de øvrige betingelser for adgang, der følger af førstnævnte artikel, var overholdt, blev heller ikke behandlet.

67.

Dermed er det på grundlag af en fortolkning af Ministerio Fiscal-dommen ikke muligt at udlede nogen form for ændring i Domstolens praksis med hensyn til den omstændighed, at en national ordning, der tillader generel og udifferentieret lagring af data som omhandlet i dommen i sagen Tele2 Sverige og Watson, er uforenelig med EU-retten.

68.

Jeg er imidlertid af den opfattelse, at Domstolen, idet den har anerkendt gyldigheden af en ordning for adgang, som er begrænset til visse personlige oplysninger (om den civile identitet på indehavere af SIM-kort), implicit accepterer tjenesteudbydernes lagring af selvsamme data.

69.

Såvel den forelæggende ret som hovedparten af de medlemsstater, der har afgivet indlæg, har opfordret Domstolen til at præcisere, nuancere eller endda genoverveje flere aspekter af dens retspraksis på dette område, som de har kritiseret.

70.

Hovedparten af denne kritik, som enten er blevet fremsat i det skjulte eller direkte, er allerede blevet fremsat i forbindelse med Digital Rights-dommen og blev forkastet i dommen i sagen Tele2 Sverige og Watson. Kritikken fremkommer nu på ny i det væsentlige for at fremhæve, at det er tilstrækkeligt, at der findes strenge bestemmelser om adgang til de data, som udbyderne af elektroniske kommunikationstjenester er i besiddelse af, hvilke bestemmelser på en vis måde vil kunne opveje den alvorlige karakter af det indgreb, der består i generel og udifferentieret lagring af disse data.

71.

Ved flere eksempler på denne kritik fremhæves desuden behovet for at vedtage virkelig effektive foranstaltninger med henblik på bekæmpelsen af alvorlige trusler mod sikkerheden og mod kriminalitet generelt, og Domstolen opfordres til at tage højde for retten til sikkerhed (chartrets artikel 6) samt medlemsstaternes skønsmargen til at beskytte den nationale sikkerhed. I et tilfælde tilføjes det, at Domstolen ikke har taget højde for den forebyggende karakter af efterretnings- og sikkerhedstjenesternes indgreb.

72.

Efter min opfattelse bør Domstolen opretholde det standpunkt, som den er nået frem til i sine foregående domme: En generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere udgør en uforholdsmæssig tilsidesættelse af de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 11.

73.

Modsætningsvis kan en national lovgivning, der fastsætter tilstrækkelige begrænsninger for lagring af nogle af disse data, der genereres i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester, være forenelig med EU-retten. Nøglen er således en begrænset lagring af disse data.

74.

Af nedenstående grunde bør denne begrænsede lagring ikke blot være en lagring, der vedrører et konkret geografisk område eller en konkret kategori af personer: Diskussionerne om disse kriterier for lagring viser, at de enten kan være uigennemførlige eller virkningsløse med henblik på de forfulgte mål eller endda udgøre en kilde til forskelsbehandling.

75.

Først og fremmest kan jeg ikke tilslutte mig det argument for kritikken, der foreslår kombinationen »en mere vidtrækkende lagring til gengæld for en mere begrænset adgang«. Domstolens ræsonnement, som jeg tilslutter mig, er, at lagring af og adgang til data udgør to forskellige former for indgreb. Selv om lagring af data giver mening med henblik på, at de kompetente myndigheder eventuelt får adgang efterfølgende, skal hvert enkelt indgreb begrundes særskilt gennem en specifik undersøgelse i betragtning af det forfulgte mål.

76.

Dermed kan en national ordning, der tillader generel og udifferentieret lagring af data, ikke begrundes på det grundlag, at de pågældende bestemmelser samtidig indfører strenge materielle og processuelle betingelser for adgangen til disse data.

77.

Der skal således foreligge bestemmelser, der specifikt omhandler lagringen af data, som underkaster denne lagring betingelser, således at den ikke har en generel og udifferentieret karakter. Kun på denne måde sikres foreneligheden med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1.

78.

Dette er i øvrigt den holdning, som er blevet vedtaget af de arbejdsgrupper, der samledes i Rådet for at definere regler for lagring og adgang, der er forenelige med Domstolens praksis, og som parallelt undersøgte de to former for indgreb ( 68 ).

79.

Ved at anvende begrænsninger på begge disse former for indgreb kan det vurderes, om deres eventuelle kumulative virkninger, kombineret med stærke garantier, er i stand til at mindske indvirkningen af lagringen af data på de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 11, samtidig med at effektiviteten af efterforskningerne sikres.

80.

For at beskytte disse rettigheder skal ordningen:

81.

Begrundelsen for, at udbydere af elektroniske kommunikationstjenester lagrer bestemte data, hvilket ikke blot skal være med henblik på varetagelsen af deres kontraktlige forpligtelser over for brugerne, styrkes i takt med de teknologiske fremskridt. Idet det anerkendes, at denne lagring er nyttig for at forebygge og bekæmpe kriminalitet (hvilket næppe kan bestrides ( 69 )), ville det ikke være logisk at begrænse dens rækkevidde alene til udnyttelse af de data, som operatørerne lagrer for at udøve deres kommercielle virksomhed, og kun til det tidsrum, der er nødvendigt med henblik på denne virksomhed.

82.

Når det anerkendes, at det er nyttigt, at der foreligger en pligt til at lagre data for at beskytte den nationale sikkerhed og bekæmpe kriminalitet, som er mere vidtrækkende end den lagring, som operatørerne kan foretage under hensyn til deres tekniske og kommercielle behov, er det nødvendigt at definere rammerne for denne pligt.

83.

Hver enkelt ordning for lagring skal være strengt begrænset til det forfulgte mål, således at den ikke kan omdannes til en udifferentieret lagring ( 70 ). Den skal desuden udelukke, at summen af disse data udgør et portræt af den berørte person (dvs. af den pågældendes sædvanlige aktiviteter og sociale relationer), som ligner eller er identisk med det portræt, der opnås gennem et kendskab til indholdet af kommunikationen.

84.

For at opklare visse misforståelser og manglende forståelser er det vigtigt at tage højde for det, som Domstolen ikke fastslog i Digital Rights-dommen og i dommen i sagen Tele2 Sverige og Watson. I disse domme blev det ikke som sådan afvist, at der kan findes en ordning for lagring af data som et nyttigt instrument i forbindelse med bekæmpelsen af kriminalitet. Derimod blev det anerkendt, at målet om at forebygge og bekæmpe kriminelle handlinger er legitimt, og at det er nyttigt at have en ordning for lagring af data for at nå dette mål.

85.

Det, der som nævnt på det kraftigste blev udelukket i disse domme, er, at Unionen eller dens medlemsstater under påberåbelse af dette mål kan indføre en pligt til udifferentieret lagring af samtlige de data, der genereres i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester, og en generel adgang til disse data.

86.

Derfor er det nødvendigt at finde former for lagring af data, der ikke er behæftet med de betegnelser (»generel og udifferentieret«), som er uforenelige med den beskyttelse, der kræves i henhold til chartrets artikel 7, 8 og 11.

87.

En af disse former kunne være en målrettet lagring af data, som enten vedrører en specifik personkreds (som i teorien har en mere eller mindre direkte forbindelse til de mest alvorlige trusler) eller et bestemt geografisk område.

88.

Dette forslag medfører imidlertid visse vanskeligheder:

89.

Desuden kan der være en vis modsætning mellem den forebyggende karakter af en lagring, der er målrettet en specifik personkreds eller et bestemt geografisk område, og den omstændighed, at hverken gerningsmændene eller stedet eller tidspunktet for lovovertrædelsen er kendt på forhånd.

90.

Under alle omstændigheder kan det ikke udelukkes, at der findes løsninger til målrettet lagring, der bygger på disse kriterier, og som kan anvendes til at nå de førnævnte mål. Det tilkommer den lovgivende magt i den enkelte medlemsstat eller for hele Unionen at udtænke disse løsninger, som skal være forenelige med beskyttelsen af de grundlæggende rettigheder, som Domstolen vogter over.

91.

Det ville være fejlagtigt at tro, at en målrettet lagring af data, som vedrører en specifik personkreds eller et bestemt geografisk område, er den eneste løsning, som ifølge Domstolen er forenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8.

92.

Det er som nævnt muligt at finde andre former for målrettet lagring af data ud over de former, der fokuserer på specifikke grupper af personer eller geografiske områder. Denne opfattelse deles af Rådets arbejdsgrupper, som jeg tidligere har nævnt: Af andre løsninger, der kan undersøges, har de især nævnt begrænsning af kategorierne af data, der lagres ( 71 ), pseudonymisering af data ( 72 ), indførelse af begrænsede lagringsperioder ( 73 ), udelukkelse af bestemte kategorier af udbydere af elektroniske kommunikationstjenester ( 74 ), tilladelser til lagring, som kan forlænges ( 75 ), en pligt til at lagre dataene inden for Unionen, eller at en uafhængig administrativ myndighed foretager en systematisk og regelmæssig kontrol af de garantier, som udbydere af elektroniske kommunikationstjenester giver for, at dataene ikke misbruges.

93.

For at være forenelig med Domstolens praksis bør der efter min opfattelse foretrækkes en midlertidig lagring af nogle kategorier af trafik- og lokaliseringsdata, som er begrænsede i forhold til strenge sikkerhedsbehov, hvilke data i deres helhed ikke gør det muligt at opnå et præcist og detaljeret billede af de berørte personers liv.

94.

Dette betyder i praksis, at der med hensyn til de to hovedkategorier (trafikdata og lokaliseringsdata) ved hjælp af de rette filtre kun bør lagres de minimumsdata, som anses for absolut nødvendige med henblik på en effektiv forebyggelse af og kontrol med kriminalitet og på beskyttelse af den nationale sikkerhed.

95.

Det tilkommer medlemsstaterne eller EU-institutionerne ved lov at gennemføre denne udvælgelsesprocedure (med hjælp fra deres egne eksperter) og opgive ethvert forsøg på at indføre en generel og udifferentieret lagring af alle trafik- og lokaliseringsdata.

96.

Ud over denne begrænsning i form af kategorier kan de lagrede data kun lagres i en lagringsperiode, således at de ikke gør det muligt at forme et detaljeret billede af de berørte personers liv. Denne lagringsperiode bør desuden tilpasses efter dataenes karakter, således at de data, der giver mere præcise oplysninger om disse personers livsstil og vaner, lagres i en kortere periode ( 76 ).

97.

Differentieringen af lagringsperioden for de enkelte kategorier af data efter deres anvendelighed i forbindelse med indfrielsen af sikkerhedsmål er med andre ord en løsning, der bør undersøges. Ved at begrænse den periode, i hvilken de forskellige kategorier af data lagres samtidigt (og dermed kan anvendes til at finde sammenhænge, som viser de berørte personers livsstil), udvides beskyttelsen af den ret, som er sikret ved chartrets artikel 8.

98.

Den Europæiske Tilsynsførende for Databeskyttelse udtalte sig i samme retning i retsmødet: Jo flere kategorier af metadata, der lagres, og jo længere lagringsperioden er, desto lettere er det at skabe en detaljeret profil af en person, og omvendt ( 77 ).

99.

Som det fremgik af retsmødet, er det i øvrigt vanskeligt at finde grænsen mellem bestemte metadata i elektronisk kommunikation og indholdet af denne kommunikation. Nogle metadata kan være lige så eller mere afslørende end selve indholdet af denne kommunikation: Dette kan være tilfældet for adresser (URL) på besøgte websteder ( 78 ). Derfor bør der rettes en særlig opmærksomhed mod denne form for data og andre lignende former, således at behovet for, at de lagres, samt varigheden af denne lagring begrænses til det strengt nødvendige.

100.

Det er ikke let at finde en afbalanceret løsning, eftersom den teknik, hvorved lagrede data krydses og sammenholdes, gør det muligt for efterforsknings- og overvågningstjenester at identificere en mistænkt eller en trussel alt efter omstændighederne. Der er imidlertid en væsentlig forskel på lagring af data med henblik på at opdage denne mistænkte eller trussel og lagring af data, der medfører, at der skabes et detaljeret portræt af en persons liv.

101.

Mens der afventes en fælles lovgivning for hele Unionen på dette specifikke område, kan det efter min opfattelse ikke kræves af Domstolen, at den påtager sig lovgivningsmæssige opgaver og minutiøst angiver de kategorier af data, der kan lagres, samt tidsrummet for denne lagring. Når de grænser, som ifølge Domstolen følger af chartret, er fastsat, tilkommer det EU-institutionerne og medlemsstaterne at sætte krydset det rigtige sted og sikre en balance mellem beskyttelsen af sikkerheden og de grundlæggende rettigheder, som er sikret ved chartret.

102.

Det forholder sig sådan, at det i visse tilfælde kan være mere vanskeligt at bekæmpe potentielle trusler, hvis der ses bort fra oplysninger, som kan udledes af et større antal lagrede data. Dette er dog en del af den pris, som de offentlige myndigheder bl.a. må betale, idet de samtidig er pålagt en pligt til at beskytte de grundlæggende rettigheder.

103.

Ingen har opfordret til en forudgående pligt til generel og udifferentieret lagring af indholdet af privat elektronisk kommunikation (end ikke, når loven sikrer en efterfølgende begrænset adgang til dette indhold), og denne kommunikations metadata, som kan afspejle lige så følsomme oplysninger som selve indholdet, kan heller ikke gøres til genstand for en udifferentieret og generel lagring.

104.

De lovgivningsmæssige vanskeligheder – som jeg anerkender – der er ved at opstille de præcise tilfælde og betingelser, hvorunder der kan ske en målrettet lagring, retfærdiggør ikke, at medlemsstaterne gør undtagelsen til en regel og omdanner generel lagring af personlige oplysninger til det centrale princip i deres lovgivninger. I så fald ville der gives tilladelse til et tidsubegrænset væsentligt indgreb i retten til beskyttelse af personoplysninger.

105.

Det bør tilføjes, at der i reelle undtagelsestilfælde, som er kendetegnet ved en umiddelbar trussel eller ved en usædvanlig risiko, som berettiger, at der erklæres en nødsituation i en medlemsstat, intet er til hinder for, at den nationale lovgivning i en begrænset periode indeholder en mulighed for at indføre en pligt til lagring af data, som er så omfattende og generel, som det anses for at være nødvendigt.

106.

I denne situation kan der vedtages en lovgivning, der specifikt tillader en mere omfattende lagring af data (samt adgang hertil) i overensstemmelse med betingelser og procedurer, der sikrer, at disse foranstaltninger har en ekstraordinær karakter for så vidt angår deres materielle rækkevidde og varighed, samt de relevante retslige garantier.

107.

En komparativ analyse af de lovgivninger, der regulerer situationer, som udgør nødsituationer, viser, at det ikke er umuligt at afgrænse faktiske omstændigheder, der kan føre til anvendelse af en særlovgivning, som bestemmer, hvilken myndighed der kan træffe denne afgørelse, på hvilke betingelser og under hvilken form for tilsyn ( 79 ).

108.

Den forelæggende ret har anmodet om en fortolkning af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med forskellige rettigheder, som er sikret ved chartret: retten til respekt for privatliv og familieliv (artikel 7), retten til beskyttelse af personoplysninger (artikel 8) og retten til ytrings- og informationsfrihed (artikel 11).

109.

Som jeg anfører i mit forslag til afgørelse i de forenede sager C-511/18 og C-512/18, er det netop disse rettigheder, som ifølge Domstolen risikerer at blive berørt i disse sager.

110.

Cour constitutionnelle (forfatningsdomstol) har ikke desto mindre ligeledes henvist til chartrets artikel 4 og 6, som henholdsvis det andet og det første præjudicielle spørgsmål omhandler.

111.

Med hensyn til chartrets artikel 6, som sikrer retten til frihed og sikkerhed, er den også blevet påberåbt i de forenede sager C-511/18 og C-512/18, og jeg har taget stilling til spørgsmålet om, hvorvidt den er relevant i det pågældende forslag til afgørelse, som jeg henviser til ( 80 ).

112.

Eftersom svaret ikke afhænger af en analyse af den nationale lovgivning med henblik på en afvejning af denne mod EU-retten, men snarere af en fortolkning af chartrets artikel 4, er det efter min opfattelse hensigtsmæssigt at besvare dette spørgsmål først.

113.

Henvisningen til forbuddet mod tortur og umenneskelig eller nedværdigende behandling eller straf, som er sikret ved chartrets artikel 4, forekommer kun i denne anmodning om præjudiciel afgørelse, og derfor bør der lægges vægt på dette aspekt.

114.

Ved at henvise til chartrets artikel 4 ønsker den forelæggende ret at fremhæve, at den nationale bestemmelse også har til formål at opfylde den positive forpligtelse, der påhviler den offentlige myndighed, om at fastsætte »en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler« ( 81 ).

115.

Denne konkrete positive forpligtelse adskiller sig efter min opfattelse ikke i væsentlig grad fra hver enkelt af de specifikke pligter, som proklamationen af et katalog over grundlæggende rettigheder medfører for staten. Retten til livet (chartrets artikel 2), til fysisk integritet (chartrets artikel 3) eller til beskyttelse af oplysninger (chartrets artikel 8) samt ytringsfriheden (chartrets artikel 11) eller retten til at tænke frit og til samvittigheds- og religionsfrihed (chartrets artikel 10) medfører for staten en forpligtelse til at vedtage en lovgivning, som sikrer en effektiv nydelse af disse rettigheder, om nødvendigt gennem en forvaltning af den offentlige myndigheds monopoliserede magt over for enhver, der forsøger at forhindre eller vanskeliggøre dette ( 82 ).

116.

For så vidt angår seksuelt misbrug af mindreårige er Menneskerettighedsdomstolen af den opfattelse, at børn og andre sårbare personer har en kvalificeret ret til statens beskyttelse gennem vedtagelsen af strafferetlige bestemmelser, der sanktioner disse forbrydelser effektivt og med en afskrækkende virkning ( 83 ).

117.

Denne kvalificerede ret til beskyttelse henhører ikke kun under chartrets artikel 4, eftersom det ville være naturligt at påberåbe artikel 1 (den menneskelige værdighed) eller artikel 3 (retten til fysisk og mental integritet).

118.

Selv om der ikke kan ses bort fra de offentlige myndigheders positive forpligtelse til at sikre beskyttelsen af børn og andre sårbare personer ( 84 ), kan den heller ikke medføre »uforholdsmæssigt store byrder« for den offentlige myndighed ( 85 ) eller opfyldes uden lovlighed eller uden respekt for de øvrige grundlæggende rettigheder ( 86 ).

119.

Den forelæggende ret ønsker i det væsentlige oplyst, om EU-retten er til hinder for den nationale lov, som retten skal tage stilling til i forbindelse med en sag om forfatningsstridighed.

120.

Idet Domstolen allerede har tilvejebragt en fortolkning af direktiv 2002/58, som er i overensstemmelse med de relevante bestemmelser i chartret, bør svaret på det præjudicielle spørgsmål tage højde for praksis fra dommen i sagen Tele2 Sverige og Watson, eventuelt med de nuancer, der tilføjes her.

121.

På dette grundlag må de fortolkningsmæssige retningslinjer, som kan gives til Cour constitutionnelle (forfatningsdomstol), med henblik på at sidstnævnte selv foretager en undersøgelse af den nationale bestemmelses forenelighed med EU-retten, særskilt omhandle dels lagringen af, dels adgangen til data, således som disse er reguleret i denne nationale bestemmelse.

122.

Den belgiske regering har fremhævet, at den ønskede at fastlægge en tydelig retlig ramme, der omfattede de nødvendige garantier for beskyttelsen af privatlivet, i stedet for at støtte sig på udbydere af elektroniske kommunikationstjenesters praksis vedrørende lagring af data med henblik på fakturering og behandling af anmodninger om oplysninger om kunderne.

123.

Ifølge denne regering er den generelle og forebyggende forpligtelse til lagring af data ikke blot rettet mod undersøgelse, efterforskning og retsforfølgning af grov kriminalitet, men derimod også beskyttelse af den nationale sikkerhed, efterforskning, afsløring og retsforfølgning af andre former for kriminalitet end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer ( 87 ) eller ethvert andet formål, der er opregnet i artikel 23, stk. 1, i forordning 2016/679.

124.

Den belgiske regering har anført følgende:

125.

På trods af disse garantier forholder det sig således, at den belgiske lovgivning pålægger operatører og udbydere af elektroniske kommunikationstjenester en generel og udifferentieret pligt til at lagre trafik- og lokaliseringsdata som omhandlet i direktiv 2002/58, som behandles i forbindelse med leveringen af disse tjenester. Lagringsperioden er som nævnt generelt på 12 måneder: Der er ikke fastsat en tidsbegrænsning afhængig af de enkelte kategorier af lagrede data.

126.

Denne pligt til generel og udifferentieret lagring er varig og kontinuerlig. Selv om formålet med den er at forebygge, efterforske og retsforfølge alle former for kriminalitet (lige fra kriminalitet, der er forbundet med den nationale sikkerhed, forsvaret eller særligt grove lovovertrædelser, til kriminalitet, der kan medføre en fængselsstraf på mindre end et år), er en pligt af denne art ikke i overensstemmelse med Domstolens praksis og kan således ikke anses for at være forenelig med chartret.

127.

For at tilpasse sig denne retspraksis må den belgiske lovgiver undersøge andre løsninger (som dem, jeg tidligere har nævnt), der indfører løsninger i form af begrænset lagring. Disse løsninger, som kan variere afhængig af de enkelte kategorier af data, skal overholde princippet om, at der kun må gemmes et minimum af data, som er nødvendigt i forhold til risikoen eller truslen, i en begrænset periode, som afhænger af de lagrede oplysningers art. Lagringen må under ingen omstændigheder give et præcist billede af de berørte personers privatliv, vaner, adfærd eller sociale relationer.

128.

Efter min opfattelse er de betingelser, der blev anført i dommen i sagen Tele2 Sverige og Watson ( 88 ), fortsat relevante, også for så vidt angår adgangen: Den nationale lovgivning skal fastsætte de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de lagrede data ( 89 ).

129.

Den belgiske regering har anført, at artikel 126, stk. 2, i lov af 2005 (om elektronisk kommunikation) ( 90 ) indeholder en restriktiv opregning af de nationale myndigheder, der kan modtage de lagrede data i overensstemmelse med samme artikels stk. 1.

130.

Disse myndigheder omfatter egentlige judicielle myndigheder og anklagemyndigheden, statens sikkerhedsstyrker, den generelle efterretnings- og sikkerhedstjeneste, som kontrolleres af flere uafhængige udvalg, retshåndhævelsespersonale ved det belgiske institut for posttjenester og telekommunikation, beredskabstjenesterne, retshåndhævelsespersonale ved forbundspolitiets enhed for savnede personer, ombudstjenesten for telekommunikation og tilsynsmyndigheden for den finansielle sektor.

131.

Den belgiske regering har generelt anført, at den nationale lovgivning ikke tillader, at forskellige tjenester får adgang til dataene med henblik på en aktiv efterforskning af trusler, som ikke er identificerede, eller for hvilke der ikke foreligger konkrete oplysninger. De nationale myndigheder kan således ikke uden videre tilgå de rå kommunikationsdata og behandle dem automatisk for at opnå oplysninger og aktivt forebygge farer for sikkerheden.

132.

Ifølge den belgiske regering er adgangen til dataene underlagt strenge betingelser afhængig af de enkelte kompetente nationale myndigheders status.

133.

Svaret på det første præjudicielle spørgsmål kræver efter min opfattelse ikke, at Domstolen foretager en udtømmende undersøgelse af de betingelser, der gælder for hver enkelt af disse myndigheders adgang til de lagrede data. Det tilkommer snarere den forelæggende ret at udføre denne opgave, hvilket skal ske i betragtning af retningslinjerne i praksis fra dommen i sagen Tele2 Sverige og Watson og Ministerio Fiscal-dommen.

134.

Ifølge den belgiske regerings oplysninger er der i øvrigt væsentlige forskelle på de betingelser for adgang, som gælder for de judicielle myndigheder eller for anklagemyndigheden ( 91 ) med henblik på efterforskning, forundersøgelse og retsforfølgning af lovovertrædelser som omhandlet i strafferetsplejelovens artikel 46a ( 92 ) og artikel 88a ( 93 ), og de betingelser, der gælder for andre myndigheder.

135.

For så vidt angår efterretnings- og sikkerhedstjenesterne følger det af lov af 1998, at begæringer om adgang til trafik- og lokaliseringsdata, som er i operatørernes besiddelse, skal bygge på objektive kriterier for at sikre, at adgangen er begrænset til det strengt nødvendige, på grundlag af en trussel, der er identificeret på forhånd ( 94 ). Der er fastsat forskellige frister for adgang (seks, ni eller tolv måneder) afhængig af den potentielle trussel, og påbuddet skal overholde proportionalitetsprincippet og nærhedsprincippet. Der er ligeledes blevet indført en kontrolordning, som varetages af en uafhængig myndighed ( 95 ).

136.

Retshåndhævelsespersonalet ved det belgiske institut for posttjenester og telekommunikation (BIPT) har mulighed for at få adgang til data, som teleoperatørerne er i besiddelse af, under anklagemyndighedens tilsyn, i yderst begrænsede tilfælde ( 96 ), uden at de personer, hvis data er lagret, ifølge den belgiske regering underrettes om denne aktivitet.

137.

For så vidt angår beredskabstjenester, der yder hjælp på stedet, kan de anmode om oplysninger for den, der har foretaget opkaldet, såfremt de efter et alarmopkald ikke fra den pågældende udbyder eller operatør kan få identifikationsoplysninger eller får ufuldstændige eller ukorrekte data.

138.

Retshåndhævelsespersonale ved forbundspolitiets enhed for savnede personer kan anmode operatøren om de nødvendige oplysninger for at finde en savnet person, hvis fysiske integritet er i overhængende fare. Adgangen, som er underlagt strenge betingelser, er begrænset til data, der gør det muligt at identificere brugeren, og data vedrørende terminaludstyrets adgang og forbindelse til nettet og lokaliseringen af dette udstyr, og er begrænset til de data, som er blevet lagret i 48 timer inden anmodningen.

139.

Ombudstjenesten for telekommunikation kan kun anmode om identifikationsoplysninger for en person, der har foretaget en fejlagtig anvendelse af et net eller en elektronisk kommunikationstjeneste. I dette tilfælde foretages der ikke en forudgående kontrol ved en judiciel myndighed eller en uafhængig administrativ myndighed (som ikke er Ombudstjenesten).

140.

Med henblik på at bekæmpe finansiel kriminalitet kan tilsynsmyndigheden for den finansielle sektor endelig opnå adgang til trafik- og lokaliseringsdata, hvilken adgang forudsætter en forudgående tilladelse fra en undersøgelsesdommer.

141.

Redegørelsen for disse former og betingelser for adgang til de lagrede data, som gælder for de enkelte myndigheder, som har tilladelse til at få adgang til dem, viser, at der findes en række forskellige tilfælde og former for beskyttelse, og det tilkommer den forelæggende ret at foretage en detaljeret undersøgelse af, om disse tilfælde og former for beskyttelse er forenelige med de kriterier, som Domstolen har anvendt i sin praksis ( 97 ).

142.

Jeg har f.eks. noteret mig, at det i forbindelse med den omtvistede lovgivning ikke forekommer, at de kompetente nationale myndigheder har pligt til systematisk at underrette de berørte personer (medmindre denne oplysning skader igangværende efterforskninger) om, at deres data er blevet tilgået. Det forekommer heller ikke, at der, i det mindste i nogle tilfælde som f.eks. i forbindelse med finansielle lovovertrædelser, indføres forud fastsatte regler om disse overtrædelsers grovhed for at begrunde adgangen til de pågældende data. Forholdet mellem intensiteten af indgrebet og graden af alvor med henblik på den undersøgte forbrydelse som omhandlet i Ministerio Fiscal-dommen fremgår ikke klart i alle tilfældene.

143.

Jeg er under alle omstændigheder af den opfattelse, at overvejelserne om myndighedernes adgang til dataene træder i baggrunden, når selve den generelle og udifferentierede adgang til disse, således som det fremgår af det ovenstående, er hovedårsagen til, at den nationale lovgivning, som er omhandlet i denne forelæggelse, ikke er i overensstemmelse med EU-retten.

144.

Cour constitutionnelle (forfatningsdomstol) ønsker oplyst, om det, såfremt det i betragtning af Domstolens svar fastslås, at den nationale lovgivning er uforenelig med EU-retten, er muligt at opretholde virkningerne af denne lovgivning midlertidigt. Dette ville undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de forfulgte mål.

145.

Det er Domstolens faste praksis, at »det alene er Domstolen, der undtagelsesvis og af tvingende retssikkerhedsmæssige hensyn kan træffe bestemmelse om en midlertidig suspension af den fortrængende virkning, som en EU-bestemmelse har i forhold til national ret, der er i strid hermed«. »Hvis nationale retsinstanser havde beføjelse til at give nationale bestemmelser forrang for EU-retten, der er til hinder for sådanne bestemmelser, også selv om det blot er midlertidigt, ville nemlig det være til skade for den ensartede anvendelse af EU-retten« ( 98 ).

146.

Eftersom Domstolen ikke har begrænset den tidsmæssige virkning af fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, bør dette spørgsmål fra den forelæggende ret ifølge Kommissionen besvares benægtende ( 99 ).

147.

Alligevel fastslog Domstolen i dom af 28. februar 2012, Inter-Environnement Wallonie og Terre wallonne ( 100 ), at en national domstol i betragtning af, at der foreligger et tvingende hensyn til miljøbeskyttelsen, undtagelsesvis kan gøre brug af den nationale bestemmelse, der giver den mulighed for at opretholde virkningerne af en national retsakt, som den har erklæret ugyldig på grund af tilsidesættelse af en EU-retlig bestemmelse ( 101 ).

148.

Denne retspraksis er blevet bekræftet ved dom af 29. juli 2019, Inter-Environnement Wallonie og Bond Beter Leefmilieu Vlaanderen ( 102 ). Selv om dommen vedrørte miljøbeskyttelse og støttede sig på forsyningssikkerheden med elektricitet, ser jeg ikke nogen grund til at afvise, at den finder anvendelse på andre områder af EU-retten, navnlig det i denne sag omhandlede.

149.

Den omstændighed, at et »tvingende hensyn til miljøbeskyttelsen« undtagelsesvis kan begrunde, at de nationale retter opretholder visse virkninger af en national bestemmelse, der er uforenelig med EU-retten, skyldes, at miljøbeskyttelse udgør »et af Unionens væsentligste tværgående og grundlæggende mål« ( 103 ).

150.

Unionens mål omfatter bl.a. også at skabe et område med sikkerhed (artikel 3, TEU), som omfatter respekt for de centrale statslige funktioner, herunder opretholdelse af lov og orden samt beskyttelse af den nationale sikkerhed (artikel 4, stk. 2, TEU). Det er et mål, som ikke er mindre »tværgående og grundlæggende« end miljøbeskyttelsen, eftersom dets indfrielse er en forudsætning for, at der kan indføres en retlig ramme, der er i stand til at sikre en effektiv nydelse af de grundlæggende rettigheder og frihedsrettigheder.

151.

Efter min opfattelse kan tvingende hensyn til beskyttelsen af den nationale sikkerhed i denne sag begrunde, at Domstolen undtagelsesvis giver den forelæggende ret tilladelse til at opretholde i det mindste nogle af virkningerne af den omtvistede lov.

152.

Denne opretholdelse kræver, at den forelæggende ret i betragtning af Domstolens afgørelse fastslår, at den nationale bestemmelse er uforenelig med EU-retten, og vurderer, at de følger, som en øjeblikkelig annullation (hvis annullation i henhold til national ret er en konsekvens af denne uforenelighed) eller en manglende anvendelse heraf kan have for den offentlige sikkerhed eller statens sikkerhed, er yderst forstyrrende.

153.

En midlertidig opretholdelse af (alle eller en del af) virkningerne af den nationale bestemmelse kræver desuden, at

154.

Den omstændighed, at det er vanskeligt at indrette nationale regler efter den praksis, der følger af dommen i sagen Tele2 Sverige og Watson ( 105 ), samt at den belgiske lovgivers hensigt om at foretage en tilpasning efter Digital Rights-dommen førte til ændring af landets egen lovgivning, taler desuden for denne løsning. Dette fortilfælde antyder, at lov af 29. maj 2016 (som blev vedtaget inden dommen i sagen Tele2 Sverige og Watson) ligeledes bør tilpasses til praksis fra sidstnævnte dom.

155.

På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Cour constitutionnelle (forfatningsdomstol, Belgien) forelagte spørgsmål således: