1.

Procura della Repubblica presso il Tribunale di Bolzano (anklagemyndigheden ved retten i Bolzano, Italien, herefter »anklagemyndigheden i Bolzano«) har anmodet Tribunale di Bolzano (retten i Bolzano, Italien) om at give adgang til data, der er lagret af udbydere af elektroniske kommunikationstjenester i henhold til national ret, der bl.a. gør det muligt at spore og identificere kilden til og bestemmelsesstedet for kommunikation fra mobiltelefoner.

2.

I forbindelse med denne anmodning har Tribunale di Bolzano (retten i Bolzano) anmodet Domstolen om at fortolke artikel 15, stk. 1, i direktiv 2002/58/EF ( 2 ). I henhold til denne bestemmelse kan medlemsstaterne indføre lovgivningsmæssige undtagelser til de i dette direktiv fastsatte forpligtelser ( 3 ) med henblik på at sikre fortroligheden af elektronisk kommunikation. I Prokuratuur-dommen ( 4 ) fastslog Domstolen, at adgang til data, der kan gøre det muligt at drage præcise slutninger vedrørende en brugers privatliv, ved hjælp af foranstaltninger truffet i henhold til artikel 15, stk. 1, i direktiv 2002/58, udgør et alvorligt indgreb i de grundlæggende rettigheder, der er sikret ved artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) ( 5 ). Der kan ikke gives en sådan adgang med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning »i straffesager i almindelighed«. Denne adgang er begrænset til procedurer, der har til formål at bekæmpe »grov kriminalitet« ( 6 ), og skal være genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed for at sikre, at dette krav er overholdt ( 7 ). Tribunale di Bolzano (retten i Bolzano) har anmodet Domstolen om at præcisere to aspekter af Prokuratuur-dommen: begrebet »grov kriminalitet« og omfanget af den forudgående kontrol, som en domstol skal foretage i henhold til en bestemmelse i national ret, og som kræver, at den giver adgang til data, der er lagret af udbydere af elektroniske kommunikationstjenester.

3.

Artikel 5 i direktiv 2002/58 med overskriften »Kommunikationshemmelighed« har følgende ordlyd:

»1.   Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. […]

[…]«

4.

Artikel 6 i direktiv 2002/58 med overskriften »Trafikdata« fastsætter:

»1.   Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5, samt artikel 15, stk. 1.

[…]

5.   Behandling af trafikdata i henhold til stk. 1, 2, 3 og 4 må kun foretages af personer, som handler efter bemyndigelse fra udbydere af de offentligt tilgængelige kommunikationsnet og ‑tjenester, og som er beskæftiget med debitering eller trafikstyring, kundeforespørgsler, afsløring af svig, markedsføring af elektroniske kommunikationstjenester eller levering af en tillægstjeneste, og skal begrænses til det for sådanne aktiviteter nødvendige.

[…]«

5.

I artikel 9 i direktiv 2002/58 med overskriften »Lokaliseringsdata, bortset fra trafikdata« fastsættes:

»1.   Hvis lokaliseringsdata, bortset fra trafikdata, vedrørende brugere af eller abonnenter på de offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, kan behandles, må disse data kun behandles, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil, og da kun i det omfang og i det tidsrum, som er nødvendigt for levering af en tillægstjeneste. Tjenesteudbyderen skal, inden brugernes eller abonnenternes samtykke indhentes, underrette dem om, hvilken type lokaliseringsdata, bortset fra trafikdata, der behandles, hvorfor og hvor længe de behandles, og om de videregives til en tredjemand med henblik på levering af tillægstjenesten. Brugere eller abonnenter skal have mulighed for til enhver tid at trække deres samtykke til behandling af lokaliseringsdata, bortset fra trafikdata, tilbage.

[…]«

6.

Artikel 15, stk. 1, i direktiv 2002/58 er affattet således:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF ( 8 ). Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

7.

Artikel 132, stk. 3, i Decreto legislativo n. 196/2003, Codice in materia di protezione dei dati personali (lovdekret nr. 196 af 2003, lov om beskyttelse af personoplysninger) af 30.6.2003 ( 9 ), som for nylig er blevet ændret ved artikel 1 i Decreto legge 30 settembre 2021 n. 132 – Misure urgenti in material di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP, convertito con modificazioni nella legge 23 novembre 2021 n. 178 (lovdekret nr. 132 af 30.9.2021 ( 10 ), som ændret og ophøjet til lov nr. 178 af 23.11.2021) ( 11 ) (herefter »artikel 132, stk. 3, i lovdekret nr. 196/2003«), bestemmer:

»3.   Inden for den lovbestemte lagringsperiode (dvs. 24 måneder fra kommunikationens dato) kan retten – hvis der foreligger tilstrækkelige indicier for dels lovovertrædelser, der i henhold til loven medfører livsvarig fængselsstraf eller fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år, og som fastsættes i medfør af artikel 4 i Codice di procedura penale (strafferetsplejeloven), dels trussel og chikane eller gener for personer via telefon, når truslen og generne er alvorlige – ved begrundet dekret, på anmodning fra anklagemyndigheden eller forsvareren af den tiltalte, den efterforskede, den skadelidte og de andre private parter, give tilladelse til adgang til trafikdata, hvis disse er relevante for at fastlægge de faktiske omstændigheder.

[…]

3c:   Data, som er blevet indhentet i strid med bestemmelserne i stk. 3 og 3a, må ikke anvendes.«

8.

Artikel 4 i Codice di procedura penale (strafferetsplejeloven) med overskriften »Kompetenceregler« bestemmer følgende:

»Kompetencen fastlægges med udgangspunkt i den lovbestemte straf for hver enkelt begået lovovertrædelse eller forsøg herpå. Der tages ikke højde for, om lovovertrædelsen er af vedvarende eller gentagen karakter, eller for dens omstændigheder, med undtagelse af de skærpende omstændigheder, for hvilke loven fastsætter en anden specifik straf end den ordinære for den konkrete lovovertrædelse, og de omstændigheder, som har særlige virkninger.«

9.

Ifølge den forelæggende ret kan anklagemyndigheden retsforfølge groft tyveri ex officio ( 12 ). I henhold til artikel 625 i Codice penale (straffeloven) kan en person, der dømmes for groft tyveri, idømmes en straf med særlig virkning i form af en fængselsstraf på mellem to og seks år og en bøde på mellem 927 og 1500 EUR. Artikel 624 i Codice penale (straffeloven) bestemmer, at en person, der dømmes for simpelt tyveri, som retsforfølges på grundlag af en klage fra den bestjålne, kan idømmes en fængselsstraf på mellem seks måneder og tre år og en bøde på mellem 154 og 516 EUR.

10.

Anklagemyndigheden (Bolzano) har indledt to straffesager mod ukendte gerningsmænd for groft tyveri af en mobiltelefon i henhold til artikel 624 og 625 i Codice penale (straffeloven) ( 13 ). Med henblik på at finde gerningsmændene anmodede anklagemyndigheden i henhold til artikel 132, stk. 3, i lovdekret nr. 196/2003 den forelæggende ret om »tilladelse til at indhente alle data, som samtlige telefonselskaber råder over (bl.a. brugere og eventuelt IMEI-numre for de opkaldte/opkaldende forbindelser, besøgte/åbnede websteder, klokkeslæt og varighed af opkaldet/forbindelsen med angivelse af de berørte celler i telefonnettet og/eller mobilmaster, brugere og IMEI-numre for afsendere/modtagere af sms’er eller mms’er og, hvor muligt, identifikationsoplysninger vedrørende de respektive indehavere) ved hjælp af metoden bestående i sporing og lokalisering af foretagne indgående og udgående telefonopkald/‑kommunikationer og forbindelser, herunder via roaming, herunder ikke-fakturerede opkald (ubesvarede opkald) fra datoen for tyveriet til datoen for behandling af anmodningen«.

11.

Den forelæggende ret nærer tvivl om, hvorvidt artikel 132, stk. 3, i lovdekret nr. 196/2003 er forenelig med artikel 15, stk. 1, i direktiv 2002/58 som fortolket i Prokuratuur-dommen. Den forelæggende ret har anført, at Corte suprema di Cassazione (kassationsdomstol, Italien) ( 14 ) den 7. september 2021 fastslog, at eftersom nationale retter har en skønsmargen angående fastlæggelsen af, hvilke lovovertrædelser der udgør »alvorlige trusler mod den nationale sikkerhed eller andre former for grov kriminalitet«, fandt Prokuratuur-dommen ikke direkte anvendelse på nationale retter. I kølvandet på Corte suprema di Cassaziones (kassationsdomstol) dom vedtog den italienske lovgiver lovdekret nr. 132 af 30. september 2021, hvis artikel 132, stk. 3, klassificerer sager om alvorlige lovovertrædelser, med hensyn til hvilke adgang til trafikdata er tilladt, som sager om lovovertrædelser, som i henhold til loven medfører »fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år […]«.

12.

Ifølge den forelæggende ret er sager om lovovertrædelser, der giver anledning til begrænset social uro, og som derfor kun kan retsforfølges på grundlag af en klage fra en person, inden for tærsklen for klassificering af alvorlige lovovertrædelser i henhold til artikel 132, stk. 3, i lovdekret nr. 196/2003 ( 15 ). Der kan således opnås adgang til trafikdata i henhold til denne bestemmelse i forbindelse med tyveri af en genstand af ringe værdi som f.eks. en mobiltelefon eller en cykel. Den tærskel, der er fastsat i artikel 132, stk. 3, i lovdekret nr. 196/2003, overholder heller ikke proportionalitetsprincippet som omhandlet i chartrets artikel 52, stk. 1, som i hver enkelt sag kræver, at der foretages en afvejning af den efterforskede lovovertrædelses grad af alvor og begrænsningen af udøvelsen af en grundlæggende rettighed. Retsforfølgning af sådanne mindre lovovertrædelser begrunder ikke, at der fastsættes en begrænsning for udøvelsen af de grundlæggende rettigheder til respekt for privatliv, beskyttelse af personoplysninger og ytrings- og informationsfrihed ( 16 ).

13.

Den forelæggende ret har forklaret, at italienske retter har en yderst begrænset skønsmargen, når det drejer sig om at nægte adgang til trafikdata, fordi der i tilfælde af »tilstrækkelige indicier for en lovovertrædelse« skal gives tilladelse til adgang, hvis en sådan adgang er »relevant for at fastlægge de faktiske omstændigheder«. Retterne har navnlig ingen kompetence til at vurdere, hvor alvorlig den efterforskede lovovertrædelse er. Lovgiver foretog denne vurdering, da den i generelle vendinger og uden at sondre mellem forskellige typer lovovertrædelser bestemte, at adgang til trafikdata skal gives i forbindelse med bl.a. efterforskning af alle lovovertrædelser, som medfører fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år.

14.

På denne baggrund har Tribunale di Bolzano (retten i Bolzano) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»Er artikel 15, stk. 1, i [direktiv 2002/58] til hinder for en national bestemmelse såsom [artikel 132, stk. 3, i lovdekret nr. 196/2003,] som […] fastsætter:

»Inden for den lovbestemte lagringsperiode (dvs. 24 måneder fra kommunikationens dato) kan retten – hvis der foreligger tilstrækkelige indicier for dels lovovertrædelser, der i henhold til loven medfører livsvarig fængselsstraf eller fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år, og som fastsættes i medfør af strafferetsplejelovens artikel 4, dels trussel og chikane eller gener for personer via telefon, når truslen og generne er alvorlige – ved begrundet dekret, på anmodning fra anklagemyndigheden eller forsvareren af den tiltalte, den efterforskede, den skadelidte og de andre private parter, give tilladelse til adgang til trafikdata, hvis disse er relevante for at fastlægge de faktiske omstændigheder«?«

15.

Den tjekkiske og den estiske regering, Irland, den franske, den italienske, den cypriotiske, den ungarske, den nederlandske, den østrigske og den polske regering samt Europa-Kommissionen har afgivet skriftlige indlæg.

16.

Ovennævnte parter samt anklagemyndigheden (Bolzano) har afgivet mundtlige indlæg og besvaret spørgsmål fra Domstolen i retsmødet den 21. marts 2023.

17.

Den italienske regering og Irland har gjort gældende, at en del af anmodningen om præjudiciel afgørelse skal afvises. Ifølge de faktiske omstændigheder i forelæggelsesafgørelsen blev anmodningen om adgang fremsat i sammenhæng med efterforskning af grove tyverier af mobiltelefoner. Irland har fremhævet, at anklagemyndigheden kan retsforfølge denne lovovertrædelse ex officio. Denne beføjelse vidner om en opfattelse af, at karakteren og virkningerne af lovovertrædelsen påvirker samfundet generelt. Anmodningen om præjudiciel afgørelse er således hypotetisk, for så vidt som den også vedrører straffesager, der kun kan gennemføres på grundlag af en klage fra en person. Den italienske regering har anført, at den forelæggende ret har nævnt en række lovovertrædelser, der ikke har betydning for den sag, der er anlagt for den. Den italienske regering og Kommissionen har anført, at det i modsætning til henvisningen i forelæggelsesafgørelsen til en »fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år«, fremgår af artikel 625 i Codice penale (straffeloven), at lovovertrædelsen groft tyveri kan straffes med en fængselsstraf på mellem to og seks år. Kommissionen har derfor foreslået, at Domstolen omformulerer spørgsmålet. Den franske regering har også anmodet Domstolen om at omformulere spørgsmålet. Selv om Domstolen kan fortolke EU-retlige bestemmelser, har den ifølge den franske regering ikke kompetence til at vurdere, om nationale bestemmelser er forenelige med EU-retten.

18.

Den forelæggende ret har med sine spørgsmål bogstavelig talt anmodet Domstolen om at tage stilling til, om en national bestemmelse er forenelig med EU-retten. Dette hindrer i sig selv ikke Domstolen i at give den forelæggende ret en fortolkning af EU-retten, artikel 15, stk. 1, i direktiv 2002/58 i dette tilfælde, som vil gøre det muligt for den forelæggende ret selv at afgøre, om denne bestemmelse er forenelig med EU-retten i den sag, der er indbragt for den ( 17 ).

19.

Det fremgår af anmodningen om præjudiciel afgørelse, at anklagemyndigheden (Bolzano) anmodede om adgang til data bl.a. med henblik på at efterforske og retsforfølge to tilfælde af groft tyveri af en mobiltelefon i henhold til artikel 625 i Codice penale (straffeloven). Under disse omstændigheder er henvisningerne i denne forelæggelse til andre lovovertrædelser, herunder artikel 624 i Codice penale (straffeloven) (simpelt tyveri) ( 18 ), uden betydning for afgørelsen af de sager, der verserer for den forelæggende ret ( 19 ). For så vidt som det forelagte spørgsmål vedrører anmodningen fra anklagemyndigheden (Bolzano) om adgang til data med henblik på efterforskning af lovovertrædelser i form af groft tyveri, er det ikke hypotetisk. Jeg vil således begrænse min bedømmelse af anvendelsen af artikel 132, stk. 3, i lovdekret nr. 196/2003 til de faktiske omstændigheder, som den forelæggende ret har beskrevet, og som vedrører groft tyveri af mobiltelefoner.

20.

Den foreliggende sag udspringer af en anmodning fra anklagemyndigheden (Bolzano) om adgang til data, der er lagret af udbydere af elektroniske kommunikationstjenester. Den vedrører ikke lagringen af disse data eller spørgsmålet om denne lagrings lovlighed i henhold til bl.a. artikel 15, stk. 1, i direktiv 2002/58 ( 20 ). Dataene består bl.a. af indgående og udgående kommunikationer ( 21 ), der er foretaget med de stjålne mobiltelefoner, samt af lokaliseringsdata ( 22 ). Selv om dataene ikke omfatter indholdet af kommunikationerne, gør de det muligt at drage præcise slutninger vedrørende privatlivet for de personer, hvis data er omhandlet, og dermed synes adgangen til disse data at udgøre et »alvorligt« indgreb i deres grundlæggende rettigheder ( 23 ). Det indgreb, som adgangen til sådanne data indebærer, kan begrundes med det formål ( 24 ), som artikel 15, stk. 1, første punktum, i direktiv 2002/58 nævner, om forebyggelse, efterforskning, afsløring og retsforfølgning af »sager om alvorlige lovovertrædelser«, men ikke straffesager i almindelighed. I forbindelse med fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 er alvoren af indgrebet i en persons grundlæggende rettigheder ifølge Domstolen forbundet med alvoren af den efterforskede lovovertrædelse ( 25 ).

21.

Direktiv 2002/58 omhandler de aktiviteter, der udøves af udbydere af elektroniske kommunikationstjenester i forbindelse med behandlingen af personoplysninger ( 26 ). Artikel 1, stk. 3, udelukker udtrykkeligt statens aktiviteter på de områder, som er nævnt deri, som f.eks. den offentlige sikkerhed, forsvaret, statens sikkerhed og det strafferetlige område, fra anvendelsesområdet for direktiv 2002/58. De aktiviteter, der nævnes i artikel 15, stk. 1, i direktiv 2002/58, kan i det væsentlige sammenholdes med de formål, der forfølges med de i dette samme direktivs artikel 1, stk. 3, omhandlede aktiviteter, og omfatter statens aktiviteter på det strafferetlige område, som udtrykkeligt er udelukket fra anvendelsesområdet for direktiv 2002/58 ( 27 ). Der er en klar forbindelse mellem de af statens aktiviteter, som artikel 1, stk. 3, i direktiv 2002/58 udelukker fra dette direktivs anvendelsesområde, og de retsforskrifter, som medlemsstaterne kan vedtage i henhold til samme direktivs artikel 15, stk. 1 ( 28 ).

22.

Uanset denne klare forbindelse har Domstolen gentagne gange fastslået, at eftersom artikel 15, stk. 1, i direktiv 2002/58 udtrykkeligt giver medlemsstaterne tilladelse til at vedtage de heri omhandlede nationale retsforskrifter, er sådanne retsforskrifter omfattet af dette direktivs anvendelsesområde. Ifølge Domstolens faste praksis omfatter begrebet »aktiviteter«, herunder »statens aktiviteter på det strafferetlige område«, der er anvendt i artikel 1, stk. 3, i direktiv 2002/58, ikke de retsforskrifter, der er omhandlet i dette direktivs artikel 15, stk. 1 ( 29 ).

23.

Hverken artikel 2 i direktiv 2002/58, som indeholder en række definitioner med henblik på anvendelsen af dette direktiv, eller nogen anden bestemmelse i direktiv 2002/58, herunder artikel 15, stk. 1, definerer begrebet »straffesager«. Direktiv 2002/58 indeholder ikke en liste over »straffesager« ( 30 ). Desuden definerer den retspraksis, der fortolker artikel 15, stk. 1, i direktiv 2002/58, ikke dette begreb ( 31 ).

24.

På trods af, at der ikke foreligger sådanne definitioner, bestemmer direktiv 2002/58 ikke, at de enkelte medlemsstater definerer »straffesager« i overensstemmelse med national ret ( 32 ). I henhold til Domstolens faste praksis følger det såvel af kravene om en ensartet anvendelse af EU-retten som af lighedsprincippet, at en bestemmelse i EU-retten, der ikke indeholder nogen udtrykkelig henvisning til medlemsstaternes lovgivning med henblik på at fastlægge dens betydning og rækkevidde, normalt skal undergives en selvstændig og ensartet fortolkning i hele Den Europæiske Union. I forbindelse med fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 kan begrebet »straffesager«, i det mindste i princippet, anses for at betegne et selvstændigt begreb i EU-retten, som skal fortolkes ensartet på samtlige medlemsstaters område ( 33 ).

25.

De ti medlemsstater, der har afgivet indlæg til Domstolen, og Kommissionen er ikke desto mindre enige om, at det tilkommer den enkelte medlemsstat at definere begrebet »straffesager«, herunder sager om alvorlige lovovertrædelser, som omhandlet i artikel 15, stk. 1, i direktiv 2002/58, på grundlag af deres nationale lovgivninger.

26.

Jeg tilslutter mig dette synspunkt af følgende grunde.

27.

For det første har Domstolen tidligere fastslået, at det i forbindelse med artikel 15, stk. 1, i direktiv 2002/58 tilkommer medlemsstaterne at fastsætte deres væsentlige sikkerhedsinteresser og at træffe de nødvendige foranstaltninger til at opretholde deres indre og ydre sikkerhed ( 34 ). Selv om Domstolen ikke udtrykkeligt har fastslået det, synes den at være af den opfattelse, at begrebet »den nationale sikkerhed« i artikel 15, stk. 1, i direktiv 2002/58 ikke er et selvstændigt begreb i EU-retten, selv om der hverken foreligger en definition af dette begreb eller en udtrykkelig henvisning til medlemsstaternes lovgivning ( 35 ). Jeg kan ikke se nogen grund til, at den samme tilgang ikke bør anvendes på medlemsstaternes beføjelser til at definere »straffesager« eller »sager om alvorlige lovovertrædelser« med henblik på artikel 15, stk. 1, i direktiv 2002/58. Begreberne »straffesager«, »den offentlige sikkerhed« og »den nationale sikkerhed« i denne bestemmelse kan betegnes som noscitur a sociis, idet EU-lovgiver tilsyneladende tilsigtede, at alle disse begreber skulle behandles på samme måde, bl.a. med hensyn til deres definition ( 36 ).

28.

For det andet pålægger artikel 4, stk. 2, TEU Unionen at respektere medlemsstaternes nationale identitet, som den kommer til udtryk i deres grundlæggende politiske og forfatningsmæssige strukturer. I præamblen til chartret anerkendes det desuden, at selv om Unionen bidrager til bevarelsen og udviklingen af fælles værdier, respekterer den bl.a. de europæiske folks forskelligartede kulturer og traditioner. Definitionen af lovovertrædelser og straffe ( 37 ) afspejler nationale holdninger og traditioner, der varierer betydeligt, ikke kun medlemsstaterne imellem, men også med tiden i takt med samfundsmæssige ændringer ( 38 ).

29.

I denne forbindelse bør det anføres, at medlemsstaterne, når de definerer lovovertrædelser og straffe, tager hensyn til en række forskellige faktorer i forskellig udstrækning. En medlemsstats vurdering af en specifik lovovertrædelses »alvor« afspejles ofte, hvis ikke altid, i strengheden af den straf, der pålægges som følge heraf. Længden af en frihedsstraf kan afspejle en analyse af en række forhold, herunder en lovovertrædelses opfattede iboende »alvor« og relative »alvor« sammenlignet med andre lovovertrædelser. Der er ikke blevet anført nogen grunde til, at medlemsstaterne ikke burde udøve denne beføjelse, eller til, at der bør anvendes en anden tilgang i forbindelse med definitionen af »straffesager«, »sager om alvorlige lovovertrædelser« eller »sager om lovovertrædelser i almindelighed« i den specifikke sammenhæng, der er omhandlet.

30.

Medlemsstaternes kompetence på det strafferetlige område berører ikke Unionens kompetence til i visse tilfælde f.eks. at fastsætte minimumsregler for, hvad der skal anses for strafbare handlinger, samt for straffene herfor på områder med kriminalitet af særlig grov karakter, der har en grænseoverskridende dimension som følge af overtrædelsernes karakter eller konsekvenser eller af et særligt behov for at bekæmpe dem på fælles grundlag ( 39 ). EU-lovgiver har imidlertid ikke fastlagt regler med hensyn til definitionen af straffesager i artikel 15, stk. 1, i direktiv 2002/58 ( 40 ). Derimod fremgår det som nævnt ( 41 ) af ordlyden af artikel 1, stk. 3, i direktiv 2002/58, at EU-lovgiver med vedtagelsen af dette direktiv ikke havde til hensigt at udøve kompetencer på det strafferetlige område.

31.

Disse to grunde er tilstrækkelige til at forklare, hvorfor medlemsstaterne, uanset at nationale retsforskrifter, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58 med henblik på efterforskning og retsforfølgning i straffesager, er omfattet af denne foranstaltning, bevarer beføjelsen til at definere »straffesager«, herunder »sager om alvorlige lovovertrædelser«, og til at fastsætte straffe for at deltage i sådanne handlinger ( 42 ).

32.

Domstolen har fremhævet, at muligheden for at fravige ( 43 ) f.eks. princippet om fortrolighed som omhandlet i artikel 5, stk. 1, i direktiv 2002/58, skal fortolkes strengt, således at denne mulighed ikke bliver hovedreglen, idet dette princip ellers ville blive udhulet ( 44 ). Udøvelsen af denne mulighed skal således overholde bl.a. ækvivalensprincippet ( 45 ) og effektivitetsprincippet ( 46 ). Den skal ligeledes være i overensstemmelse med EU-rettens generelle principper, herunder proportionalitetsprincippet ( 47 ), og chartrets artikel 7, 8 og 11 ( 48 ) samt artikel 52, stk. 1 ( 49 ). Formålet om bekæmpelse af grov kriminalitet skal altid forenes med udøvelsen af de grundlæggende rettigheder, der berøres af dette formål. De rettigheder, der er sikret ved chartrets artikel 7, 8 og 11, er ikke absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet ( 50 ). Chartrets artikel 52, stk. 1, bestemmer således, at begrænsninger i udøvelsen af disse rettigheder, for så vidt som disse begrænsninger er fastlagt i lovgivningen, skal respektere det væsentligste indhold af de nævnte rettigheder og under iagttagelse af proportionalitetsprincippet skal være nødvendige og faktisk svare til mål af almen interesse, der er anerkendt af Den Europæiske Union, eller et behov for beskyttelse af andres rettigheder og friheder. Nationale retsforskrifter, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, skal således faktisk og præcist opfylde et af de formål, der er nævnt i denne bestemmelse. De skal være baseret på objektive kriterier og fastsætte klare og præcise regler, der angiver, på hvilke materielle og processuelle betingelser udbyderne af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de pågældende data ( 51 ).

33.

Med henblik på at sikre fuld iagttagelse af disse betingelser i praksis skal de kompetente nationale myndigheders adgang til de lagrede data i princippet ( 52 ) undergives en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed ( 53 ), efter en begrundet anmodning fra disse myndigheder og underretning af de berørte personer ( 54 ). Det fremgår af Domstolens faste praksis, at en domstol eller en uafhængig administrativ enhed i forbindelse med denne forudgående kontrol skal sikre en afvejning af de forskellige berørte interesser og rettigheder for at sikre en rimelig ligevægt mellem hensynene til efterforskningen og behovet for at beskytte de berørte personers ret til respekt for privatlivet og beskyttelse af personoplysninger ( 55 ).

34.

I den foreliggende sag fastsætter artikel 132, stk. 3, i lovdekret nr. 196/2003 betingelserne for, at en national ret skal pålægge udbydere af elektroniske kommunikationstjenester at give anklagemyndigheden adgang til data på sidstnævntes anmodning. Det er ubestridt ( 56 ), at artikel 132, stk. 3, i lovdekret nr. 196/2003 i klare og præcise vendinger fastlægger omstændighederne og betingelserne for, at en national ret kan pålægge udbydere af elektroniske kommunikationstjenester at give en sådan adgang. Den forelæggende ret er imidlertid af den opfattelse, at en »fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år«, er formuleret for bredt, således at denne bestemmelses anvendelsesområde kan omfatte lovovertrædelser som f.eks. simpelt tyveri, der giver anledning til begrænset social uro.

35.

Selv om artikel 132, stk. 3, i lovdekret nr. 196/2003 potentielt omfatter en lang række lovovertrædelser, er der for Domstolen ikke forelagt nogen beviser i den foreliggende sag på, at denne bestemmelse omfatter en så lang række af lovovertrædelser, at det er reglen snarere end undtagelsen, at der gives adgang til data i henhold til den ( 57 ). Tærsklen i form af en fængselsstraf på mindst tre år ved maksimal strafudmåling synes ikke at være uforholdsmæssig lav ( 58 ). Artikel 3, nr. 9), i direktiv 2016/681 ( 59 ) definerer analogt »grov kriminalitet« som »de overtrædelser, der er opført på listen i bilag II, og som kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret« ( 60 ). Domstolen har imidlertid fastslået, at for så vidt som artikel 3, nr. 9), i direktiv 2016/681 ikke henviser til minimumsstraffen, men til maksimumsstraffen, er det imidlertid ikke udelukket, at de relevante »[oplysninger] behandles med henblik på bekæmpelse af overtrædelser, der – selv om de opfylder kriteriet om alvorstærsklen i henhold til denne bestemmelse – under hensyntagen til det nationale strafferetlige systems særlige kendetegn ikke henhører under grov kriminalitet, men under almindelig kriminalitet« ( 61 ).

36.

Fængselsstraffen på tre år i artikel 132, stk. 3, i lovdekret nr. 196/2003 henviser til maksimumsstraffen og kan således gøre sig gældende for lovovertrædelser som f.eks. simpelt tyveri ( 62 ). Det er derfor nødvendigt at undersøge, hvordan artikel 132, stk. 3, i lovdekret nr. 196/2003 anvendes i praksis. Med forbehold for den forelæggende rets efterprøvelse heraf forekommer artikel 132, stk. 3, i lovdekret nr. 196/2003 at fastsætte to forskellige standarder for en national rets forudgående kontrol afhængig af karakteren af de efterforskede overtrædelser.

37.

Den første af disse standarder for kontrol kræver ( 63 ), at nationale retter giver anklagemyndigheden adgang til data, der er lagret af udbydere af elektroniske kommunikationstjenester, hvis sådanne data er relevante med henblik på at fastlægge de faktiske omstændigheder, og hvis der foreligger tilstrækkelige indicier for en lovovertrædelse i form af trussel og chikane eller gener for personer via telefon, når truslen og generne er alvorlige. Den nationale ret skal derfor foretage en individuel vurdering af alvoren af den pågældende lovovertrædelse og kontrollere, om efterforskningen og retsforfølgningen af denne lovovertrædelse begrunder en begrænsning af de generelle rettigheder, der er fastsat i chartrets artikel 7, 8 og 11, og de specifikke rettigheder, der er indeholdt i artikel 5, 6 og 9, i direktiv 2002/58. Denne standard kræver, at der i en given sag foretages en individuel eller konkret vurdering af, om indgrebet i disse rettigheder er forholdsmæssigt, sammenlignet med den almene interesse i at bekæmpe kriminalitet.

38.

Den anden standard for kontrol, som er relevant i forbindelse med den foreliggende sag, kræver derimod ( 64 ), at nationale retter giver anklagemyndigheden adgang til data, der er lagret af udbydere af elektroniske kommunikationstjenester, hvis sådanne data er relevante med henblik på at fastlægge de faktiske omstændigheder, og hvis der foreligger tilstrækkelige indicier for en lovovertrædelse, der kan medføre fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år. I dette tilfælde er den nationale rets rolle begrænset til at kontrollere, om disse objektive krav er opfyldt, uden at den har mulighed for at foretage en individuel vurdering af interesserne i den foreliggende sag ( 65 ). Den kontrol, som den nationale ret foretager i henhold til artikel 132, stk. 3, i lovdekret nr. 196/2003, har således ingen faktisk tilknytning til de specifikke omstændigheder ved den sag, der er anlagt for den.

39.

Selv om nationale retter ikke har kompetence til at foretage en prøvelse af lovgivernes definition af lovovertrædelser eller til at efterprøve lovgivers afgørelse vedrørende alvoren af sådanne lovovertrædelser ( 66 ), skal disse retter ikke desto mindre have kompetence til at foretage en individuel vurdering af, om adgang i henhold til retsforskrifter vedtaget med henvisning til artikel 15, stk. 1, i direktiv 2002/58 til følsomme oplysninger, der gør det muligt at drage præcise slutninger vedrørende en brugers privatliv, hvilket udgør et alvorligt indgreb i de grundlæggende rettigheder, der er fastsat i chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er proportional.

40.

Heraf følger, at retsforskrifter, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, ikke kan give adgang til følsomme oplysninger, medmindre (i) den pågældende lovovertrædelse overstiger alvorstærsklen, der på forhånd er fastlagt af den nationale lovgiver, og (ii) en ret eller andet uafhængigt administrativt organ efter en individuel eller konkret vurdering eller kontrol fastslår, at det indgreb i grundlæggende rettigheder, som denne adgang indebærer, står i forhold til den almene interesse i at bekæmpe kriminalitet i et konkret tilfælde. I visse tilfælde kan der imidlertid ikke gives adgang til sådanne data, selv når lovovertrædelsen overstiger alvorstærsklen i henhold til national ret.

41.

Lovovertrædelsen i form af groft tyveri i den foreliggende sag betegnes som »grov« i henhold til national ret, eftersom den kan straffes med bl.a. en fængselsstraf på mellem to og seks år og dermed overstiger alvorstærsklen i artikel 132, stk. 3, i lovdekret nr. 196/2003 ( 67 ). Når italienske retter anvender retsforskrifter, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, har de tilsyneladende ikke kompetence til at rejse tvivl om klassificeringen af groft tyveri som en »alvorlig lovovertrædelse« i henhold til national ret. Hvis den tærskel, der er fastsat i den nationale lovgivning, ikke er nået, kan den forelæggende ret således ikke give adgang til de data, der ønskes adgang til ( 68 ).

42.

Såfremt den tærskel, der er fastsat af den nationale lovgiver, er nået, skal den forelæggende ret i henhold til artikel 15, stk. 1, i direktiv 2002/58 kontrollere, om det indgreb i grundlæggende rettigheder, som adgangen til følsomme oplysninger indebærer, i lyset af alle de omstændigheder, der vedrører den specifikke sag, står i forhold til den almene interesse i at bekæmpe denne lovovertrædelse. Den forelæggende ret skal i denne henseende tage højde for og foretage en afvejning af alle relevante rettigheder og hensyn, herunder bl.a. den skade, der forvoldes på ofrenes ejendomsret, som er beskyttet i henhold til chartrets artikel 17, og den omstændighed, at mobiltelefoner kan indeholde yderst følsomme oplysninger om deres ejeres privat- og arbejdsliv samt økonomiske livsvilkår ( 69 ). Det er muligt, at adgangen til de pågældende data er det eneste effektive middel med henblik på efterforskningen og retsforfølgningen af de pågældende lovovertrædelser, der kan sikre, at de, hidtil ukendte, gerningsmænd ikke går fri af straf. Tredjemands rettigheder ( 70 ) skal også tages i betragtning.

43.

Med hensyn til tredjemands rettigheder fremgår det ( 71 ) af den forelæggende rets dokumenter, at anklagemyndigheden (Bolzano) anmodede om adgang til data vedrørende kommunikationer fra de stjålne mobiltelefoner fra den 29. oktober 2021 med hensyn til det første tyveri, der blev begået den 27. oktober 2021 ( 72 ), og fra den 20. november 2021 med hensyn til det andet tyveri, der blev begået på sidstnævnte dato ( 73 ). Disse datoer viser, at anmodningerne om adgang i meget begrænset omfang berører ofrenes rettigheder, der bl.a. er sikret ved chartrets artikel 7, 8 og 11 ( 74 ). Den italienske regering har i sit skriftlige indlæg også anført, at de nationale sager alene vedrører data, der kan være til hjælp med henblik på at identificere gerningsmanden/‑mændene til de omhandlede tyverier. Såfremt opkald til eller fra tredjeparter, som ikke har forbindelse til tyveriet, identificeres, vil disse data blive tilintetgjort i overensstemmelse med artikel 269 i Codice di Procedura Penale (strafferetsplejeloven) ( 75 ). Endelig bestemmer artikel 132, stk. 3c, i lovdekret nr. 196/2003, at data, som er blevet indhentet i strid med bestemmelserne i stk. 3 og 3a, ikke må anvendes ( 76 ).

44.

På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer det af Tribunale di Bolzano (retten i Bolzano, Italien) forelagte spørgsmål som følger:

»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, og artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder

skal fortolkes således, at

denne bestemmelse ikke er til hinder for national lovgivning, der kræver, at en ret giver anklagemyndigheden adgang til data, der er lagret lovligt af udbydere af elektroniske kommunikationstjenester, og som gør det muligt at drage præcise slutninger vedrørende en brugers privatliv, hvis sådanne data er relevante med henblik på at fastlægge de faktiske omstændigheder, og hvis der foreligger tilstrækkelige indicier for grov kriminalitet som defineret i national ret, der kan medføre fængselsstraf af en varighed, som ved maksimal strafudmåling svarer til mindst tre år. Inden den nationale ret giver adgang, skal den foretage en individuel vurdering af, om det indgreb i grundlæggende rettigheder, som en sådan adgang indebærer, står i forhold til bl.a. den specifikke lovovertrædelses alvor og sagens faktiske omstændigheder.«