–

Ministerio Fiscal ved E. Tejada de la Fuente,

–

den spanske regering ved M. Sampol Pucurull, som befuldmægtiget,

–

den tjekkiske regering ved M. Smolek, J. Vláčil og A. Brabcová, som befuldmægtigede,

–

den danske regering ved J. Nymann-Lindegren og M. Wolff, som befuldmægtigede,

–

den estiske regering ved N. Grünberg, som befuldmægtiget,

–

Irland ved M. Browne, L. Williams, E. Creedon og A. Joyce, som befuldmægtigede, bistået af E. Gibson, BL,

–

den franske regering ved D. Colas, E. de Moustier og E. Armoet, som befuldmægtigede,

–

den lettiske regering ved I. Kucina og J. Davidoviča, som befuldmægtigede,

–

den ungarske regering ved M. Fehér og G. Koós, som befuldmægtigede

–

den østrigske regering ved C. Pesendorfer, som befuldmægtiget,

–

den polske regering ved B. Majczyna, D. Lutostańska og J. Sawicka, som befuldmægtigede,

–

Det Forenede Kongeriges regering ved S. Brandon og C. Brodie, som befuldmægtigede, bistået af barrister C. Knight og G. Facenna, QC,

–

Europa-Kommissionen ved I. Martínez del Peral, P. Costa de Oliveira, R. Troosters og D. Nardi, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører nærmere bestemt fortolkningen af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 (EUT 2009, L 337, s. 11) (herefter »direktiv 2002/58«), sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

2

Denne anmodning er indgivet i forbindelse med et søgsmål, der er anlagt af Ministerio Fiscal (anklagemyndigheden, Spanien), til prøvelse af afgørelsen fra Juzgado de Instrucción no 3 de Tarragona (forundersøgelsesdomstol nr. 3 i Tarragona, Spanien, herefter »forundersøgelsesdomstolen«) vedrørende afslag på at give kriminalpolitiet adgang til personoplysninger, der er lagret af leverandører af elektroniske kommunikationstjenester.

3

I henhold til artikel 2, litra b), i Europa Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) forstås ved »behandling af personoplysninger« i sidstnævnte »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse«.

4

Dette direktivs artikel 3 med overskriften »Anvendelsesområde« fastsætter:

»1.   Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Dette direktiv gælder ikke for sådan behandling af personoplysninger,

5

Følgende fremgår af 2., 11., 15. og 21. betragtning til direktiv 2002/58:

[…]

[…]

[…]

6

Artikel 1 i direktiv 2002/58 med overskriften »Anvendelsesområde og formål« bestemmer:

»1.   Dette direktiv tager sigte på en harmonisering af medlemsstaternes bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig privatlivets fred i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Fællesskabet.

2.   Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser direktiv [95/46]. Nærværende bestemmelser beskytter desuden legitime interesser hos abonnenter, der er juridiske personer.

3.   Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af traktaten om oprettelse af Det Europæiske Fællesskab, som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«

7

Artikel 2 i direktiv 2002/58 med overskriften »Definitioner« har følgende ordlyd:

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv 95/46 og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (»ramme«-direktivet) [(EFT 2002, L 108, s. 33)].

Følgende definitioner anvendes også:

[…]

[…]«

8

Artikel 3 i direktiv 2002/58 med overskriften »Omfattede tjenester« fastsætter:

»Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«

9

Artikel 5 i direktiv 2002/58 med overskriften »Kommunikationshemmelighed« har følgende ordlyd:

»1.   Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. […]

[…]

3.   Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46 at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. […]«

10

Artikel 6 i direktiv 2002/58 med overskriften »Trafikdata« bestemmer:

»1.   Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5 samt artikel 15, stk. 1.

2.   Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

[…]«

11

Nævnte direktivs artikel 15 med overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]« fastsætter i stk. 1:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

12

Artikel 1 i ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (lov nr. 25/2007 om lagring af data om elektronisk kommunikation og om offentlige kommunikationsnet) af 18. oktober 2007 (BOE nr. 251 af 19.10.2007, s. 42517) bestemmer:

»1.   Denne lov har til formål at regulere operatørernes forpligtelse til at lagre data, der genereres eller behandles i forbindelse med udbydelse af elektroniske kommunikationstjenester eller offentlige kommunikationsnet samt pligten til at udlevere disse data til de bemyndigede aktører, såfremt de anmodes herom ved retskendelse med henblik på afsløring, efterforskning og retsforfølgning af alvorlige forbrydelser, der er omhandlet i straffeloven eller i særlige straffelove.

2.   Denne lov finder anvendelse på trafikdata og lokaliseringsdata vedrørende både fysiske og juridiske personer og på lignende data, der er nødvendige for at identificere abonnenten eller den registrerede bruger.

[…]«

13

Artikel 13, stk. 1, i Ley Orgánica 10/1995 del Código Penal (straffelov), af 23. november 1995 (BOE nr. 281 af 24.11.1995, s. 33987) har følgende ordlyd:

»Ved alvorlige forbrydelser forstås de overtrædelser, som i henhold til loven straffes med en streng straf.«

14

Nævnte lovs artikel 33 fastsætter:

»1.   Sanktionen kvalificeres under hensyn til dens art og varighed som streng, mindre streng eller let.

2.   Følgende udgør strenge straffe:

[…]«

15

Efter datoen for omstændighederne i hovedsagen blev Ley de Enjuiciamiento Criminal (strafferetsplejeloven) ændret ved Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (organisk lov nr. 13/2015 om ændring af strafferetsplejeloven med henblik på en styrkelse af retsplejegarantierne og regulering af foranstaltningerne til teknologisk efterforskning) af 5. oktober 2015 (BOE nr. 239 af 6.10.2015, s. 90192).

16

Loven trådte i kraft den 6. december 2015. Den indarbejder i strafferetsplejeloven området vedrørende adgang til data om telefoniske og telematiske kommunikative processer, der er lagret af udbydere af elektroniske kommunikationstjenester.

17

Strafferetsplejelovens artikel 579, stk. 1, i den affattelse, der blev vedtaget ved organisk lov nr. 13/2015, bestemmer:

»1.   Retten kan tillade opfangning af privat postal og telegrafisk korrespondance, herunder telefax, Burofax og internationale postanvisninger, som den mistænkte sender eller modtager, og at sådan korrespondance åbnes og gennemgås, såfremt der foreligger oplysninger, som giver grundlag for at antage, at dette vil gøre det muligt at opdage og kontrollere et faktisk forhold eller en oplysning af relevans for sagen, når efterforskningen vedrører en af følgende typer forbrydelser:

[…]«

18

Nævnte lovs artikel 588b, litra j), fastsætter:

»1.   Elektroniske data, der lagres af tjenesteudbydere eller personer, der befordrer kommunikationen i overensstemmelse med lovgivningen om lagring af data vedrørende [..] elektronisk kommunikation eller på eget initiativ af kommercielle eller andre årsager, og som vedrører kommunikationsprocesser, kan kun udleveres med henblik på brug i forbindelse med en sag efter forudgående retskendelse.

2.   Når kendskab til disse data er absolut nødvendigt for efterforskningen, anmodes den kompetente dommer om en retskendelse med henblik på indhentning af de oplysninger, der forefindes i tjenesteudbyderens elektroniske arkiver, herunder krydssøgninger eller intelligente søgninger, såfremt det præciseres, hvilken type data der ønskes kendskab til, samt de grunde, der retfærdiggør en udlevering heraf.«

19

Hernández Sierra indgav en anmeldelse til politiet om, at han den 16. februar 2015 var blevet udsat for røveri, hvor han var blevet alvorlig skadet og var blevet frastjålet sin tegnebog og mobiltelefon.

20

Den 27. februar 2015 indgav kriminalpolitiet en anmodning til forundersøgelsesdomstolen om, at diverse udbydere af elektroniske kommunikationstjenester blev pålagt at udlevere de telefonnumre, der var blevet aktiveret i perioden mellem den 16. og 27. februar 2015 med den stjålne mobiltelefons internationale mobiludstyrs identitetskode (herefter »IMEI-kode«) samt personoplysningerne om identiteten på de indehavere eller brugere af de telefonnumre, der svarede til de SIM-kort, som var blevet aktiveret med denne kode, såsom deres efternavn, fornavn og eventuelt adresse.

21

Ved kendelse af 5. maj 2015 afslog forundersøgelsesdomstolen denne anmodning. Den fastslog for det første, at den krævede foranstaltning ikke var egnet til at identificere de ansvarlige forbrydere. Den afslog for det andet at imødekomme anmodningen med den begrundelse, at lov nr. 25/2007 begrænsede udlevering af data, der lagres af udbydere af elektroniske kommunikationstjenester, til alvorlige forbrydelser. I overensstemmelse med straffeloven straffes alvorlige forbrydelser med mere end fem års fængsel, mens de forhold, der er genstand for hovedsagen, ikke forekom at kunne udgøre en sådan forbrydelse.

22

Anklagemyndigheden har iværksat appel til prøvelse af denne kendelse ved den forelæggende ret og anført, at der burde have været givet tilladelse til udlevering af de omhandlede data på grund af arten af de faktiske omstændigheder og i medfør af en dom fra Tribunal Supremo (øverste domstol, Spanien) af 26. juli 2010 i en tilsvarende sag.

23

Den forelæggende ret har anført, at den spanske lovgiver efter nævnte kendelse ændrede strafferetsplejeloven med vedtagelsen af organisk lov nr. 13/2015. Denne lov, som har relevans for udfaldet af søgsmålet i hovedsagen, indførte to nye alternative kriterier med henblik på fastlæggelsen af graden af alvor med hensyn til en forbrydelse. Der er for det første tale om et materielt kriterium, der vedrører adfærd, der har en særligt alvorlig kriminel karakter, og som desuden må anses for særligt skadelig for personlige og kollektive interesser. Den nationale lovgiver anvender for det andet en formel standard, der vedrører den straf, der kan idømmes for den pågældende forbrydelse. Den strafferamme på tre års fængsel, som fastsættes, vil imidlertid omfatte langt størstedelen af forbrydelserne. Den forelæggende ret har desuden anført, at den statslige interesse i at straffe ulovlig adfærd ikke kan begrunde et uforholdsmæssigt indgreb i de grundlæggende rettigheder, som er beskyttet i chartret.

24

I denne henseende er nævnte ret af den opfattelse, at direktiv 95/46 og 2002/58 i hovedsagen skaber den krævede forbindelse til chartret. Den i hovedsagen omhandlede nationale lovgivning er således, i overensstemmelse med chartrets artikel 51, stk. 1, omfattet af chartrets anvendelsesområde, på trods af, at Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EFT 2006, L 105, s. 54) blev kendt ugyldigt ved dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238).

25

I den nævnte dom anerkendte Domstolen, at lagring og udlevering af trafikdata udgør et særlig alvorligt indgreb i de rettigheder, der er sikret i chartrets artikel 7 og 8, og identificerede kriterierne for at vurdere overholdelsen af proportionalitetsprincippet, herunder kriteriet om, at der skal være tale om en tilstrækkeligt alvorlig forbrydelse for at retfærdiggøre lagring af data og adgang hertil i forbindelse med en efterforskning.

26

På denne baggrund har Audiencia Provincial de Tarragona (regional domstol i Tarragona) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

27

Ved afgørelse truffet af Domstolens præsident den 23. maj 2016 blev sagen ved Domstolen udsat på afsigelsen af dom i sagen Tele2 Sverige og Watson m.fl., forenede sager C-203/15 og C-698/15 (dom af 21.12.2016, EU:C:2016:970, herefter »dommen i sagen Tele2 Sverige og Watson m.fl.«). Efter afsigelsen af denne dom blev den forelæggende ret spurgt, om den ønskede at opretholde eller at trække sin anmodning om præjudiciel afgørelse tilbage. Ved skrivelse af 30. januar 2017, indgået til Domstolen den 14. februar 2017, har den forelæggende ret som svar herpå anført, at den er af den opfattelse, at denne dom ikke med tilstrækkelig sikkerhed gør det muligt for den at vurdere den i hovedsagen omhandlede nationale lovgivning i forhold til EU-retten. Den 16. februar 2017 blev sagen for Domstolen derefter genoptaget.

28

Den spanske regering har gjort gældende, dels at Domstolen ikke har kompetence til at besvare anmodningen om præjudiciel afgørelse, dels at denne anmodning ikke kan antages til realitetsbehandling.

29

Den spanske regering har i sine skriftlige indlæg for Domstolen givet udtryk for den holdning, som Det Forenede Kongeriges regering har tilsluttet sig i retsmødet, at Domstolen ikke har kompetence til at besvare anmodningen om præjudiciel afgørelse, fordi hovedsagen i henhold til artikel 3, stk. 2, første led, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58 er udelukket fra anvendelsesområdet for disse to direktiver. Denne sag er derfor ikke omfattet af EU-rettens anvendelsesområde, hvorfor chartret, i overensstemmelse med artikel 51, stk. 1, heri, ikke finder anvendelse.

30

Ifølge den spanske regering fastslog Domstolen ganske vist i dommen i sagen Tele2 Sverige og Watson m.fl., at en retsforskrift, der regulerer nationale myndigheders adgang til data, der lagres af udbydere af elektroniske kommunikationstjenester, er omfattet af anvendelsesområdet for direktiv 2002/58. I det foreliggende tilfælde drejer det sig imidlertid om en offentlige myndigheds anmodning om adgang til personoplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester, i medfør af en retsafgørelse inden for rammerne af en strafferetlig bevisoptagelse. Den spanske regering har deraf konkluderet, at denne anmodning om adgang er en del af de nationale myndigheders udøvelse af ius puniendi, således at den udgør en af staten udøvet aktivitet på det strafferetlige område, der er omfattet af den undtagelse, der er fastsat i artikel 3, stk. 2, første led, i direktiv 95/46 og artikel 1, stk. 3, i direktiv 2002/58.

31

Med henblik på vurderingen af denne indsigelse om manglende kompetence bemærkes, at artikel 1, stk. 1, i direktiv 2002/58 bestemmer, at dette direktiv fastsætter en harmonisering af de nationale bestemmelser, der er nødvendig for navnlig at sikre et ensartet niveau for beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatlivets fred og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor. Nævnte direktivs artikel 1, stk. 2, specificerer og supplerer direktiv 95/46 med henblik på at nå de i stk. 1 omhandlede mål.

32

Artikel 1, stk. 3, i direktiv 2002/58 udelukker fra sit anvendelsesområde »statens aktiviteter« på de områder, som er nævnt deri, herunder statens aktiviteter på det strafferetlige område og aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed, herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed (dommen i sagen Tele2 Sverige og Watson m.fl., præmis 69 og den deri nævnte retspraksis). De aktiviteter, der er nævnt som eksempler heri, er under alle omstændigheder statens eller statslige myndigheders aktiviteter, der ikke har noget at gøre med området for den enkelte borgers aktiviteter (jf. analogt hvad angår artikel 3, stk. 2, første led, i direktiv 95/46 dom af 10.7.2018, Jehovan Todistajat, C-25/17, EU:C:2018:551, præmis 38 og den deri nævnte retspraksis).

33

Hvad angår artikel 3 i direktiv 2002/58 fastsætter den, at dette direktiv finder anvendelse på behandling af personoplysninger i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i EU, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr (herefter »elektroniske kommunikationstjenester«). Nævnte direktiv skal derfor anses for at regulere den virksomhed, som udbydere af sådanne tjenester udøver (dommen i sagen Tele2 Sverige og Watson m.fl., præmis 70).

34

Hvad angår artikel 15, stk. 1, i direktiv 2002/58 har Domstolen allerede fastslået, at de retsforskrifter, der er omhandlet i denne bestemmelse, er omfattet af dette direktivs anvendelsesområde, selv om de vedrører statens eller statslige myndigheders aktiviteter, der ikke har noget at gøre med området for den enkelte borgers aktiviteter, og selv om de formål, som sådanne foranstaltninger skal opfylde, i det væsentlige kan sammenholdes med de formål, der forfølges med de i direktivets artikel 1, stk. 3, omhandlede aktiviteter. Dette direktivs artikel 15, stk. 1, forudsætter nemlig nødvendigvis, at de heri omhandlede nationale foranstaltninger er omfattet af nævnte direktivs anvendelsesområde, idet det udtrykkeligt fremgår af direktivet, at medlemsstaterne kun må vedtage sådanne foranstaltninger under iagttagelse af de i direktivet fastsatte betingelser. De retsforskrifter, der er omhandlet i artikel 15, stk. 1, i direktiv 2002/58, regulerer desuden med de i bestemmelsen fastsatte formål for øje den virksomhed, som udøves af udbydere af elektroniske kommunikationstjenester (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 72-74).

35

Domstolen har fastslået, at nævnte artikel 15, stk. 1, sammenholdt med artikel 3 i direktiv 2002/58, skal fortolkes således, at det ikke kun er en retsforskrift, der pålægger udbyderne af elektroniske kommunikationstjenester at lagre trafikdata og lokaliseringsdata, der er omfattet af dette direktivs anvendelsesområde, men også en retsforskrift, der vedrører de nationale myndigheders adgang til de data, som lagres af disse udbydere (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 75 og 76).

36

Den ved artikel 5, stk. 1, i direktiv 2002/58 sikrede beskyttelse af fortroligheden i forbindelse med den elektroniske kommunikation og de dermed forbundne trafikdata finder nemlig anvendelse på de foranstaltninger, som træffes af andre end brugerne, hvad enten der er tale om private personer eller enheder eller statslige enheder. Direktivet har til formål, således som det bekræftes i 21. betragtning hertil, at hindre uautoriseret »adgang« til kommunikation, herunder »data vedrørende kommunikationen«, med henblik på at beskytte fortroligheden i forbindelse med elektronisk kommunikation (dommen i sagen Tele2 Sverige og Watson m.fl., præmis 77).

37

Det skal tilføjes, at de retsforskrifter, der pålægger udbydere af elektroniske kommunikationstjenester at lagre personoplysninger eller at give de kompetente nationale myndigheder adgang til disse data, nødvendigvis indebærer, at disse udbydere behandler de nævnte oplysninger (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 75 og 78). Sådanne foranstaltninger kan, for så vidt som de regulerer de nævnte udbyderes virksomhed, således ikke sidestilles med statens aktiviteter, der er omfattet af artikel 1, stk. 3, i direktiv 2002/58.

38

I det foreliggende tilfælde er den i hovedsagen omhandlede anmodning, hvorved kriminalpolitiet har anmodet om en retskendelse med henblik på at få adgang til de personoplysninger, der lagres af udbydere af elektroniske kommunikationstjenester, således som det fremgår af forelæggelsesafgørelsen, baseret på lov nr. 25/2007, sammenholdt med strafferetsplejeloven i den version, der finder anvendelse på omstændighederne i hovedsagen, der regulerer offentlige myndigheders adgang til sådanne data. Denne lovgivning kan gøre det muligt for kriminalpolitiet, hvis den retskendelse, hvorom der anmodes, anordnes, på grundlag af denne kendelse at kræve af udbyderne af elektroniske kommunikationstjenester, at de stiller personoplysninger til kriminalpolitiets rådighed, og at de i denne forbindelse, henset til definitionen i artikel 2, litra b), i direktiv 95/46, der finder anvendelse i forbindelse med direktiv 2002/58 i medfør af dette direktivs artikel 2, stk. 1, foretager en »behandling« af sådanne data, som omhandlet i disse to direktiver. Den nævnte lovgivning regulerer således den virksomhed, der udøves af udbydere af elektroniske kommunikationstjenester, og er derfor omfattet af anvendelsesområdet for direktiv 2002/58.

39

På denne baggrund kan den omstændighed, som den spanske regering har anført, hvorefter denne anmodning om adgang er en del af en strafferetlig bevisoptagelse, ikke gøre direktiv 2002/58 uanvendeligt i hovedsagen i medfør af artikel 1, stk. 3, heri.

40

Det er desuden i denne henseende uden betydning, at den i hovedsagen omhandlede anmodning om adgang, således som det fremgår af den spanske regerings skriftlige svar på et spørgsmål stillet af Domstolen, og som både denne regering og anklagemyndigheden bekræftede i retsmødet, kun har til formål at give adgang til de telefonnumre, der svarer til de SIM-kort, der var blevet aktiveret med den stjålne mobiltelefons IMEI-kode, samt personoplysningerne om identiteten på indehaverne af disse kort, såsom deres efternavn, fornavn og eventuelt adresse, i modsætning til data vedrørende kommunikation foretaget med de nævnte SIM-kort og lokaliseringsdata vedrørende den stjålne mobiltelefon.

41

Som generaladvokaten har anført i punkt 54 i forslaget til afgørelse, regulerer direktiv 2002/58 nemlig, i medfør af dets artikel 1, stk. 1, og dets artikel 3, enhver behandling af personoplysninger inden for rammerne af leveringen af elektroniske kommunikationstjenester. I overensstemmelse med dette direktivs artikel 2, stk. 2, litra b), omfatter begrebet »trafikdata«»data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«.

42

Hvad i sidstnævnte henseende nærmere angår data om identiteten på indehaverne af SIM-kortene fremgår det af 15. betragtning til direktiv 2002/58, at trafikdata bl.a. kan omfatte efternavn og adresse på kommunikationsafsenderen eller brugeren af en forbindelse til udførelse af kommunikationen. Data om identiteten på indehaverne af SIM-kort kan desuden være nødvendige for debiteringen af leverede elektroniske kommunikationstjenester og er således omfattet af trafikdata som defineret i dette direktivs artikel 2, stk. 2, litra b). Disse data er derfor omfattet af anvendelsesområdet for direktiv 2002/58

43

Domstolen har dermed kompetence til at besvare den forelæggende rets spørgsmål.

44

Den spanske regering har anført, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling, idet den ikke klart identificerer de EU-retlige bestemmelser, som Domstolen anmodes om at tage stilling til. Den i hovedsagen omhandlede anmodning fra kriminalpolitiet omhandler ikke aflytning af kommunikation foretaget ved hjælp af SIM-kort, der var blevet aktiveret med den stjålne mobiltelefons IMEI-kode, men en sammenkædning af disse kort og deres indehavere, således at kommunikationshemmeligheden ikke berøres. Chartrets artikel 7, som de præjudicielle spørgsmål omhandler, er dermed uden relevans i forbindelse med den foreliggende sag.

45

Ifølge Domstolens faste praksis tilkommer det udelukkende den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retsafgørelse, der skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de stillede spørgsmål vedrører fortolkningen af EU-retten, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Domstolen kan kun afvise at træffe afgørelse om et præjudicielt spørgsmål forelagt af en national ret, hvis det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan give en hensigtsmæssig besvarelse af de forelagte spørgsmål (dom af 10.7.2018, Jehovan Todistajat, C-25/17, EU:C:2018:551, præmis 31 og den deri nævnte retspraksis).

46

I den foreliggende sag indeholder forelæggelsesafgørelsen tilstrækkelige faktiske og retlige oplysninger til både at identificere de EU-retlige bestemmelser, som de præjudicielle spørgsmål omhandler, og at forstå rækkevidde af disse spørgsmål. Det fremgår særligt af forelæggelsesafgørelsen, at de præjudicielle spørgsmål tilsigter at give den forelæggende ret mulighed for at vurdere spørgsmålet om, hvorvidt og i hvilket omfang den nationale lovgivning, som den i hovedsagen omhandlede anmodning fra kriminalpolitiet er baseret på, forfølger et formål, der kan begrunde et indgreb i de grundlæggende rettigheder, der er fastsat i chartrets artikel 7 og 8. Ifølge oplysningerne fra samme ret er denne nationale lovgivning imidlertid omfattet af anvendelsesområdet for direktiv 2002/58, og chartret finder derfor anvendelse på hovedsagen. De præjudicielle spørgsmål er således direkte forbundet med genstanden for tvisten i hovedsagen og kan dermed ikke anses for at være hypotetiske.

47

Under disse omstændigheder kan de præjudicielle spørgsmål antages til realitetsbehandling.

48

Med sine to spørgsmål, der skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8, skal fortolkes således, at offentlige myndigheders adgang til data med henblik på at identificere indehavere af SIM-kort, der er blevet aktiveret med en stjålet mobiltelefon, såsom efternavn, fornavn og eventuelt adresse på disse indehavere, indebærer et indgreb i disse sidstnævntes grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, som er så alvorligt, at denne adgang med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser bør begrænses til bekæmpelse af grov kriminalitet, og i bekræftende fald på baggrund af hvilke kriterier alvoren af den omhandlede forbrydelse skal vurderes.

49

I denne henseende fremgår det af forelæggelsesafgørelsen, således som generaladvokaten har anført i punkt 38 i forslaget til afgørelse, at den præjudicielle anmodning ikke tager sigte på at fastslå, om de i hovedsagen omhandlede personoplysninger er blevet lagret af udbyderne af elektroniske kommunikationstjenester under overholdelse af de betingelser, der er fastsat i artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8. Denne anmodning vedrører, således som det fremgår af nærværende doms præmis 46, kun spørgsmålet om, hvorvidt og i hvilket omfang det formål, der forfølges med den i hovedsagen omhandlede lovgivning, kan begrunde offentlige myndigheders, såsom kriminalpolitiets, adgang til sådanne data, uden at de øvrige betingelser for adgang, der følger af denne artikel 15, stk. 1, er genstand for denne præjudicielle anmodning.

50

Den forelæggende ret ønsker særligt oplyst, om de forhold, der skal tages i betragtning med henblik på vurderingen af, om de forbrydelser, med hensyn til hvilke politimyndighederne i forbindelse med en efterforskning kan gives adgang til personoplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester, er tilstrækkeligt alvorlige til at begrunde det indgreb, som en sådan adgang indebærer i de grundlæggende rettigheder, der er fastslået i chartrets artikel 7 og 8, således som fortolket af Domstolen i dom af 8. april 2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238), og dommen i sagen Tele2 Sverige og Watson m.fl.

51

Hvad angår spørgsmålet om, hvorvidt der foreligger et sådant indgreb i disse grundlæggende rettigheder, bemærkes, således som generaladvokaten har anført i punkt 76 og 77 i forslaget til afgørelse, at offentlige myndigheders adgang til sådanne data udgør et indgreb i den grundlæggende ret til respekt for privatlivet, som er fastsat i chartrets artikel 7, også selv om der ikke foreligger omstændigheder, der gør det muligt at kvalificere dette indgreb som »alvorligt«, og uden at det har betydning, om de videregivne oplysninger er følsomme oplysninger, eller om det nævnte indgreb har medført eventuelle ubehageligheder for de berørte. En sådan adgang indebærer ligeledes et indgreb i den grundlæggende ret til beskyttelse af personoplysninger, som er sikret i chartrets artikel 8, eftersom den udgør en behandling af personoplysninger (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 124 og 126 samt den deri nævnte retspraksis).

52

Hvad angår de formål, som kan begrunde en national lovgivning som den i hovedsagen omhandlede, der regulerer offentlige myndigheders adgang til oplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester, og som således fraviger princippet om fortrolighed i forbindelse med elektronisk kommunikation, bemærkes, at opregningen af de formål, der er fastsat i artikel 15, stk. 1, første punktum, i direktiv 2002/58, er udtømmende, således at adgangen til de lagrede data faktisk og præcist skal opfylde et af disse mål (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 90 og 115).

53

Hvad angår formålet om forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser bemærkes, at ordlyden af artikel 15, stk. 1, første punktum, i direktiv 2002/58 ikke begrænser dette formål til kun at omfatte bekæmpelse af alvorlige forbrydelser, men tager sigte på »straffesager« generelt.

54

I denne henseende har Domstolen ganske vist fastslået, at det med hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser kun er bekæmpelse af grov kriminalitet, der kan begrunde offentlige myndigheders adgang til personoplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester, og som tilsammen gør det muligt at drage præcise slutninger vedrørende privatlivet for de personer, hvis data er omhandlet (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 99).

55

Domstolen har imidlertid begrundet denne fortolkning med den omstændighed, at det formål, der forfølges med en lovgivning, der regulerer denne adgang, skal stå i forhold til alvoren af det indgreb i de omhandlede grundlæggende rettigheder, som denne adgang indebærer (jf. i denne retning dommen i sagen Tele2 Sverige og Watson m.fl., præmis 115).

56

I overensstemmelse med proportionalitetsprincippet er et alvorligt indgreb således kun begrundet med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der har til formål at bekæmpe kriminalitet, der på samme måde kan kvalificeres som »grov«.

57

Når det indgreb, som en sådan adgang indebærer, ikke er alvorligt, kan nævnte adgang begrundes med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af »straffelovsovertrædelser« generelt.

58

Det skal derfor først og fremmest fastslås, om det indgreb i de grundlæggende rettigheder, der er fastslået i chartrets artikel 7 og 8, som en sådan adgang for kriminalpolitiet til de i hovedsagen omhandlede data i det foreliggende tilfælde indebærer, kan anses for at være »alvorligt«.

59

I denne henseende har den i hovedsagen omhandlede anmodning, hvorved kriminalpolitiet i forbindelse med en strafferetlig efterforskning har anmodet om retslig tilladelse til at få adgang til personoplysninger, der er lagret af udbydere af elektroniske kommunikationstjenester, kun til formål at identificere indehaverne af de SIM-kort, der i en periode på 12 dage blev aktiveret med den stjålne mobiltelefons IMEI-kode. Som det anføres i nærværende doms præmis 40, tager denne anmodning kun sigte på adgang til de telefonnumre, der svarer til disse SIM-kort, samt på data om identiteten på indehaverne af de nævnte kort, såsom deres efternavn, fornavn og eventuelt adresse. Disse data omfatter derimod, som både den spanske regering og anklagemyndigheden bekræftede i retsmødet, hverken kommunikationen foretaget med den stjålne mobiltelefon eller lokaliseringen heraf.

60

Det fremgår således, at de data, der er omfattet af den i hovedsagen omhandlede anmodning om adgang, kun gør det muligt i en bestemt periode at sammenkæde det eller de SIM-kort, der er blevet aktiveret med den stjålne mobiltelefon, med indehaverne af disse SIM-korts identitet. Uden sammenholdning af data vedrørende den kommunikation, der er foretaget med de nævnte SIM-kort, med lokaliseringsdata, gør disse data det hverken muligt at kende datoen, tidspunktet, varigheden og modtagerne af den kommunikation, der er foretaget med det eller de omhandlede SIM-kort, eller de steder, hvor denne kommunikation har fundet sted eller hyppigheden heraf med visse personer i en bestemt periode. De nævnte data gør det dermed ikke muligt at drage præcise slutninger vedrørende privatlivet for de personer, hvis data er omhandlet.

61

Under disse omstændigheder kan adgangen til de data alene, som den i hovedsagen omhandlede anmodning omfatter, ikke kvalificeres som et »alvorligt« indgreb i de grundlæggende rettigheder for de personer, hvis data er omhandlet.

62

Som det fremgår af nærværende doms præmis 53-57, kan det indgreb, som en adgang til sådanne data indebærer, være begrundet i det formål om forebyggelse, efterforskning, afsløring og retsforfølgning af »straffelovsovertrædelser« generelt, som artikel 15, stk. 1, første punktum, i direktiv 2002/58 henviser til, uden at det er nødvendigt, at disse forbrydelser kvalificeres som »alvorlige«.

63

Henset til de ovenstående betragtninger skal de forelagte spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7 og 8, skal fortolkes således, at offentlige myndigheders adgang til data med henblik på at identificere indehavere af SIM-kort, der er blevet aktiveret med en stjålet mobiltelefon, såsom efternavn, fornavn og eventuelt adresse på disse indehavere, indebærer et indgreb i disse sidstnævntes grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, som ikke er så alvorligt, at denne adgang skal begrænses til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser med henblik på bekæmpelse af grov kriminalitet.

64

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at offentlige myndigheders adgang til data med henblik på at identificere indehavere af SIM-kort, der er blevet aktiveret med en stjålet mobiltelefon, såsom efternavn, fornavn og eventuelt adresse på disse indehavere, indebærer et indgreb i disse sidstnævntes grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, som ikke er så alvorligt, at denne adgang skal begrænses til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser med henblik på bekæmpelse af grov kriminalitet.