Sag C-178/22

Ukendte

(anmodning om præjudiciel afgørelse indgivet af Tribunale di Bolzano/Landesgericht Bozen)

Domstolens dom (Store Afdeling) af 30. april 2024

»Præjudiciel forelæggelse – behandling af personoplysninger inden for den elektroniske kommunikationssektor – kommunikationshemmelighed – udbydere af elektroniske kommunikationstjenester – direktiv 2002/58/EF – artikel 15, stk. 1 – artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder – anmodning om adgang til disse oplysninger fra en kompetent national myndighed med henblik på retsforfølgning af lovovertrædelser i form af grove tyverier – definition af begrebet »alvorlig lovovertrædelse«, hvis retsforfølgning kan begrunde et alvorligt indgreb i de grundlæggende rettigheder – medlemsstaternes kompetence – proportionalitetsprincippet – omfanget af den forudgående domstolskontrol af anmodninger om adgang til oplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester«

1. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – national lovgivning, der giver nationale myndigheder adgang til trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet – adgang til disse oplysninger med henblik på retsforfølgning af lovovertrædelser i form af grove tyverier – forekomst af et alvorligt indgreb i retten til respekt for privatlivet og beskyttelsen af personoplysninger – bedømmelseskriterier – varighed af perioden for adgang til oplysningerne – annmodning om adgang til oplysninger vedrørende brugere af elektroniske kommunikationstjenester, som ikke abonnerer på disse tjenester – ikke relevant

   [Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 2, litra a), art. 5, stk. 1, og art. 15, stk. 1]

   (jf. præmis 36 og 39-41)

2. Tilnærmelse af lovgivningerne – telekommunikation – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – national lovgivning, der giver nationale myndigheder adgang til trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet – adgang til disse oplysninger med henblik på retsforfølgning af lovovertrædelser i form af grove tyverier – begrebet alvorlig lovovertrædelse – medlemsstaternes kompetence til at definere dette begreb – grænser – overholdelse af proportionalitetsprincippet – efterprøvelse som led i den forudgående kontrol, der foretages af en domstol eller en uafhængig administrativ enhed – omfanget af denne kontrol

   (Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 15, stk. 1)

   (jf. præmis 44-51 og 54-63 samt domskonkl.)

Resumé

Efter at være blevet forelagt en anmodning om præjudiciel afgørelse fra Giudice delle indagini preliminari presso il Tribunale di Bolzano (forundersøgelsesdommeren ved retten i Bolzano, Italien) præciserede Domstolens Store Afdeling, hvem det tilkommer af definere begrebet »alvorlig lovovertrædelse« med henblik på anvendelsen af artikel 15, stk. 1, i »direktivet om databeskyttelse inden for elektronisk kommunikation« ( 1 ). Domstolen udtalte sig desuden om omfanget af den forudgående nationale domstolskontrol af anmodninger om adgang til oplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester.

Efter to tyverier af mobiltelefoner indledte Procura della Repubblica presso il Tribunale di Bolzano (anklagemyndigheden ved retten i Bolzano, Italien) to straffesager mod ukendte gerningsmænd for grove tyverier. Med henblik på at identificere gerningsmændene til disse tyverier anmodede denne anklagemyndighed på grundlag af en bestemmelse i national ret ( 2 ) den forelæggende ret om tilladelse til at indhente trafikdata fra de stjålne telefoner hos telefonselskaberne.

Da den forelæggende ret var i tvivl om, hvorvidt denne nationale bestemmelse – som fastsætter, at den maksimale fængselsstraf på mindst tre år, som en lovovertrædelse straffes med, kan begrunde udlevering af trafikdata til de offentlige myndigheder – var forenelig med »direktivet om databeskyttelse inden for elektronisk kommunikation«, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), anmodede den Domstolen om en fortolkning af dette direktiv.

Domstolens bemærkninger

I første omgang og hvad angår karakteren af det indgreb i den grundlæggende ret til respekt for privatlivet og beskyttelse af personoplysninger ( 3 ), der sker ved adgangen til trafikdata, fandt Domstolen, at dette indgreb kan kvalificeres som alvorligt, og at en sådan adgang følgelig kun kan gives i forbindelse med bekæmpelse af grov kriminalitet. Domstolen bemærkede, at det var uden relevans for vurderingen af, om der forelå et alvorligt indgreb i disse grundlæggende rettigheder, at de data, der var anmodet om adgang til, ikke vedrørte ejerne af de pågældende mobiltelefoner, men de personer, der havde anvendt disse telefoner efter deres formodede tyverier. Det fremgår nemlig af »direktivet om databeskyttelse inden for elektronisk kommunikation« ( 4 ), at den principielle forpligtelse til at sikre hemmeligheden i forhold til de elektroniske kommunikationer og de dermed forbundne trafikdata omfatter de kommunikationer, der foretages af brugerne af det offentlige kommunikationsnet. I dette direktiv defineres begrebet »bruger« imidlertid som en fysisk person, som anvender en offentligt tilgængelig elektronisk kommunikationstjeneste uden nødvendigvis at abonnere på den pågældende tjeneste.

I anden omgang og hvad angår definitionen af begrebet »alvorlig lovovertrædelse« anførte Domstolen, at i det omfang Unionen ikke har lovgivet på området, henhører straffelovgivningen og strafferetsplejereglerne under medlemsstaternes kompetence. Medlemsstaterne skal dog udøve denne kompetence under overholdelse af EU-retten.

Domstolen bemærkede i denne forbindelse, at definitionen af strafbare lovovertrædelser, af formildende og skærpende omstændigheder og af sanktioner afspejler såvel de sociale realiteter som de juridiske traditioner, som ikke blot varierer mellem medlemsstaterne, men også over tid. Disse realiteter og traditioner har imidlertid en klar betydning for fastlæggelsen af de alvorlige lovovertrædelser.

Følgelig, og under hensyntagen til kompetencefordelingen mellem Unionen og medlemsstaterne og til de betydelige forskelle mellem de nationale retssystemer på det strafferetlige område, tilkommer det medlemsstaterne at definere de »alvorlige lovovertrædelser«.

Domstolen fremhævede imidlertid, at denne definition af de »alvorlige lovovertrædelser« skal overholde de krav, der følger af »direktivet om databeskyttelse inden for elektronisk kommunikation« ( 5 ), sammenholdt med chartret ( 6 ). Det følger heraf, at medlemsstaterne ikke kan fordreje begrebet »alvorlig lovovertrædelse« og i videre forstand begrebet »grov kriminalitet« ved heri at inkludere lovovertrædelser, som åbenbart ikke er alvorlige i betragtning af de fremherskende samfundsforhold i den pågældende medlemsstat. Det er bl.a. med henblik på at efterprøve, at der ikke er sket en sådan fordrejning, at det er afgørende, at de nationale myndigheders adgang til de lagrede data er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, når der er en risiko for et alvorligt indgreb i de grundlæggende rettigheder.

I tredje omgang og slutteligt bemærkede Domstolen for det første – med henblik på at vurdere, om definitionen af de »alvorlige lovovertrædelser« i den nationale bestemmelse er for bred – at en definition, hvorefter de »alvorlige lovovertrædelser«, hvor der med henblik på retsforfølgning kan gives adgang til oplysninger, er dem, for hvilke den maksimale fængselsstraf er af mindst en lovbestemt varighed, er baseret på et objektivt kriterium.

For det andet fremhævede Domstolen dog, at definitionen i national ret af de »alvorlige lovovertrædelser« ikke må være så bred, at adgangen til disse oplysninger bliver reglen snarere end undtagelsen. Denne definition kan således ikke dække det store flertal af strafbare lovovertrædelser, hvilket ville være tilfældet, hvis tærsklen blev fastsat til et uforholdsmæssigt lavt niveau. En tærskel, der er fastsat ved henvisning til en maksimal fængselsstraf på tre år, forekommer imidlertid ikke i denne henseende at være uforholdsmæssigt lav.

Eftersom definitionen af de »alvorlige lovovertrædelser« er fastsat ved henvisning ikke til en minimumsstraf, men til en maksimumsstraf, udelukkede Domstolen imidlertid ikke, at der kan anmodes om en adgang til oplysninger, som udgør et alvorligt indgreb i de grundlæggende rettigheder, med henblik på retsforfølgning af lovovertrædelser, der ikke i realiteten henhører under grov kriminalitet.

Fastsættelsen af en tærskel, hvorfra den maksimale fængselsstraf, som en lovovertrædelse straffes med, kan begrunde, at denne lovovertrædelse kvalificeres som en alvorlig lovovertrædelse, er imidlertid ikke nødvendigvis i modstrid med proportionalitetsprincippet.

For det første synes dette at være tilfældet med den omhandlede nationale bestemmelse, eftersom den bl.a. synes at omfatte tilfælde, hvor adgangen ikke kan kvalificeres som et alvorligt indgreb, fordi den ikke omfatter en samling af oplysninger, som kan gøre det muligt at drage præcise slutninger om de berørte personers privatliv.

For det andet skal den retsinstans eller den uafhængige administrative enhed, som skal træffe afgørelse som led i en forudgående kontrol, være beføjet til at nægte eller begrænse denne adgang, når den konstaterer, at indgrebet i de grundlæggende rettigheder er alvorligt, selv om det er åbenbart, at den omhandlede lovovertrædelse ikke i praksis falder ind under grov kriminalitet.

Den retsinstans eller den enhed, der er ansvarlig for denne kontrol, skal nemlig være i stand til at sikre en rimelig ligevægt mellem på den ene side de legitime interesser, der er forbundet med, hvad der er nødvendigt af hensyn til den strafferetlige efterforskning, og på den anden side retten til respekt for privatlivet og beskyttelsen af personoplysninger.

Denne retsinstans eller denne enhed skal navnlig være i stand til at udelukke en sådan adgang, når der anmodes herom som led i retsforfølgningen af en lovovertrædelse, der åbenbart ikke er alvorlig.

Domstolen konkluderede på grundlag heraf, at »direktivet om databeskyttelse inden for elektronisk kommunikation«, sammenholdt med chartret, ikke er til hinder for en national bestemmelse, der pålægger en national ret at tillade en adgang til en samling af trafikdata eller lokaliseringsdata, hvis der anmodes herom med henblik på efterforskning af strafbare lovovertrædelser, som straffes med en maksimal fængselsstraf på mindst tre år, dog på betingelse af, at den nationale ret er beføjet til at nægte den nævnte adgang, hvis der anmodes herom som led i en efterforskning af en lovovertrædelse, som åbenbart ikke er alvorlig i betragtning af de fremherskende samfundsforhold i den pågældende medlemsstat.

( 1 ) – Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11) (herefter »direktivet om databeskyttelse inden for elektronisk kommunikation«).

( 2 ) – Nemlig artikel 132, stk. 3, i decreto legislativo n. 196 – Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (lovdekret nr. 196, lov om beskyttelse af personoplysninger, om bestemmelser om tilpasning af national ret til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) af 30.6.2003 (almindeligt tillæg til GURI nr. 174 af 29.7.2003) i den affattelse, der finder anvendelse på tvisten i hovedsagen.

( 3 ) – Sikret ved chartrets artikel 7 og 8.

( 4 ) – Artikel 5, stk. 1, i »direktivet om databeskyttelse inden for elektronisk kommunikation«.

( 5 ) – Artikel 15, stk. 1, i »direktivet om databeskyttelse inden for elektronisk kommunikation«.

( 6 ) – Chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1.