Hof van Justitie verklaart de richtlijn betreffende gegevensbewaring ongeldig
08 april 2014
Deze richtlijn impliceert een zeer omvangrijke en bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens zonder dat deze inmenging tot het strikt noodzakelijke beperkt blijft
De richtlijn betreffende gegevensbewaring1 heeft als hoofddoel een harmonisatie tot stand te brengen van de nationale bepalingen van de lidstaten inzake de bewaring van bepaalde gegevens die zijn gegenereerd of verwerkt door de aanbieders van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken. Deze richtlijn beoogt aldus te garanderen dat die gegevens beschikbaar zijn voor het voorkomen, onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals, met name, criminaliteit die verband houdt met georganiseerde misdaad en terrorisme. Zo bepaalt de richtlijn dat voornoemde aanbieders verkeers- en locatiegegevens, en de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identificeren, moeten bewaren. Zij staat daarentegen niet toe dat de inhoud van de communicatie en van de geraadpleegde informatie wordt bewaard.
De High Court (Ierland) en het Verfassungsgerichtshof (Oostenrijk) verzoeken het Hof de geldigheid van de richtlijn te onderzoeken, met name in het licht van twee door het Handvest van de grondrechten van de Europese Unie gewaarborgde grondrechten, te weten het fundamentele recht op bescherming van het privéleven en het fundamentele recht op bescherming van persoonsgegevens.
De High Court moet een geding beslechten tussen de Ierse onderneming Digital Rights en de Ierse autoriteiten over de wettigheid van nationale maatregelen inzake het bewaren van gegevens over elektronische communicatie. Bij het Verfassungsgerichtshof zijn verschillende beroepen aanhangig op constitutioneel gebied die zijn ingesteld door de Kärntner Landesregierung (regering van de deelstaat Karinthië) en door de heren Seitlinger en Tschohl alsmede 11 128 andere verzoekers. Met deze beroepen wordt beoogd dat de nationale bepaling waarbij de richtlijn in Oostenrijks recht is omgezet, nietig wordt verklaard.
Bij zijn arrest van heden verklaart het Hof de richtlijn ongeldig2.
Het Hof stelt om te beginnen vast dat het met de te bewaren gegevens met name mogelijk is: (1) te weten met wie en met welk middel een abonnee of geregistreerde gebruiker heeft gecommuniceerd, (2) te bepalen hoe lang de communicatie heeft geduurd en vanaf welke plek deze heeft plaatsgevonden en (3) de frequentie te kennen van de communicaties van de abonnee of de geregistreerde gebruiker met bepaalde personen gedurende een gegeven tijdvak. Deze gegevens kunnen, in hun geheel beschouwd, zeer nauwkeurige aanwijzingen verschaffen over het privéleven van degenen van wie de gegevens worden bewaard, zoals de gewoonten van het dagelijkse leven, de plaatsen van permanent of tijdelijk verblijf, de dagelijkse verplaatsingen of verplaatsingen van andere aard, de uitgeoefende activiteiten, de sociale relaties en de gefrequenteerde sociale milieus.
Het Hof is van oordeel dat de richtlijn, door het bewaren van deze gegevens verplicht te stellen en door toegang ertoe toe te staan aan de bevoegde nationale autoriteiten, zich op bijzonder ernstige wijze inmengt in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens. Voorts kan het feit dat het bewaren en het latere gebruik van de gegevens gebeurt zonder dat de abonnee of de geregistreerde gebruiker daarover wordt geïnformeerd, bij de betrokkenen het gevoel doen ontstaan dat constant toezicht wordt gehouden op hun privéleven.
Het Hof onderzoekt vervolgens of een dergelijke inmenging in de betrokken grondrechten gerechtvaardigd is.
Het stelt vast dat de gegevensbewaring waartoe de richtlijn verplicht, geen afbreuk kan doen aan de wezenlijke inhoud van de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens. De richtlijn staat immers niet toe dat kennis wordt genomen van de inhoud van elektronische communicatie als zodanig en bepaalt dat de aanbieders van diensten of netwerken bepaalde beginselen ter bescherming en beveiliging van de gegevens in acht moeten nemen;
Voorts beantwoordt gegevensbewaring met het oog op de eventuele overdracht ervan aan de bevoegde autoriteiten inderdaad aan een doel van algemeen belang, te weten de strijd tegen ernstige criminaliteit en, uiteindelijk, de openbare veiligheid.
Volgens het Hof heeft de Uniewetgever met de vaststelling van de richtlijn evenwel de grenzen overschreden die ingevolge het evenredigheidsbeginsel in acht moeten worden genomen.
In dit verband stelt het Hof vast dat de beoordelingsbevoegdheid van de Uniewetgever – rekening gehouden met ten eerste de belangrijke rol van de bescherming van persoonsgegevens in het licht van het fundamentele recht op bescherming van het privéleven en ten tweede de omvang en de ernst van de inmenging in dat recht die de richtlijn impliceert – beperkt was, zodat een strikte toetsing moet worden verricht.
Hoewel de gegevensbewaring waartoe de richtlijn verplicht, geschikt kan worden geacht om het daarmee nagestreefde doel te verwezenlijken, is de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.
Ten eerste omvat de richtlijn immers op algemene wijze iedereen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder enig onderscheid, enige beperking of enige uitzondering naargelang van het doel van de strijd tegen ernstige criminaliteit.
Ten tweede bevat de richtlijn geen enkel objectief criterium waarmee kan worden verzekerd dat de bevoegde nationale autoriteiten slechts toegang hebben tot en slechts gebruik kunnen maken van gegevens ter voorkoming, opsporing en strafrechtelijke vervolging van criminaliteit die, gelet op de omvang en de ernst van de inmenging in de betrokken grondrechten, als voldoende ernstig kan worden beschouwd om een dergelijke inmenging te rechtvaardigen. Integendeel, de richtlijn bevat enkel een algemene verwijzing naar in de nationale wetgevingen van de lidstaten gedefinieerde „ernstige criminaliteit”. Bovendien schrijft de richtlijn niet de materiële en procedurele voorwaarden voor waaronder de bevoegde nationale autoriteiten toegang kunnen hebben tot de gegevens en deze later kunnen gebruiken. De toegang tot gegevens is met name niet afhankelijk gesteld van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuurslichaam.
Ten derde legt de richtlijn met betrekking tot de bewaringstermijn voor deze gegevens een duur van ten minste zes maanden op, zonder enig onderscheid te maken tussen de categorieën gegevens naargelang van de betrokken personen of het eventuele nut van de gegevens ten aanzien van het nagestreefde doel. Verder ligt deze termijn tussen ten minste zes maanden en ten hoogste vierentwintig maanden, zonder dat de richtlijn preciseert op basis van welke objectieve criteria de bewaringstermijn moet worden bepaald teneinde te verzekeren dat deze tot het strikt noodzakelijke wordt beperkt.
Het Hof stelt bovendien vast dat de richtlijn geen toereikende waarborgen biedt om een doeltreffende bescherming van de gegevens te verzekeren tegen het gevaar van misbruik en tegen elke onrechtmatige toegang tot en elk onrechtmatig gebruik van de gegevens. Het Hof constateert onder meer dat de richtlijn aanbieders van diensten toestaat economische overwegingen te laten meewegen bij de bepaling van het beveiligingsniveau dat zij toepassen (met name met betrekking tot de kosten van de toepassing van de beveiligingsmaatregelen), en dat de richtlijn niet garandeert dat de gegevens na hun bewaringstermijn onherstelbaar worden vernietigd.
Ten slotte levert het Hof kritiek op het feit dat de richtlijn niet verplicht stelt dat de gegevens op het grondgebied van de Unie worden bewaard. De richtlijn waarborgt aldus niet volledig dat door een onafhankelijke autoriteit toezicht wordt gehouden op de naleving van de vereisten van bescherming en beveiliging, hetgeen het Handvest evenwel uitdrukkelijk verlangt. Een dergelijk toezicht, op basis van het Unierecht, vormt een wezenlijk onderdeel van de eerbiediging van de bescherming van personen ten aanzien van de verwerking van persoonsgegevens.
1 Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54).
2 Daar het Hof de werking van zijn arrest niet heeft beperkt in de tijd, geldt de ongeldigverklaring vanaf de datum van inwerkingtreding van de richtlijn.
De volledige tekst van het arrest is te vinden op de website CURIA.
Reacties worden gemodereerd. Onaanvaardbare inhoud wordt niet gepubliceerd.