HvJ EU, 02-10-2018, nr. C-207/16

HvJ EU, 02-10-2018, nr. C-207/16

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Uitspraak 02‑10‑2018

K. Lenaerts, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz, J. L. da Cruz Vilaça, C. G. Fernlund, C. Vajda, E. Juhász, A. Borg Barthet, C. Toader, M. Safjan, D. Šváby, M. Berger, E. Jarašiūnas, E. Regan

Partij(en)

In zaak C-207/16,*

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje) bij beslissing van 6 april 2016, ingekomen bij het Hof op 14 april 2016, in de procedure ingeleid door

Ministerio Fiscal,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, A. Tizzano, vicepresident, R. Silva de Lapuerta, T. von Danwitz (rapporteur), J. L. da Cruz Vilaça, C. G. Fernlund en C. Vajda, kamerpresidenten, E. Juhász, A. Borg Barthet, C. Toader, M. Safjan, D. Šváby, M. Berger, E. Jarašiūnas en E. Regan, rechters,

advocaat-generaal: H. Saugmandsgaard Øe,

griffier: L. Carrasco Marco, administrateur,

gezien de stukken en na de terechtzitting op 29 januari 2018,

gelet op de opmerkingen van:

het Ministerio Fiscal, vertegenwoordigd door E. Tejada de la Fuente,

de Spaanse regering, vertegenwoordigd door M. Sampol Pucurull als gemachtigde,

de Tsjechische regering, vertegenwoordigd door M. Smolek, J. Vláčil en A. Brabcová als gemachtigden,

de Deense regering, vertegenwoordigd door J. Nymann-Lindegren en M. Wolff als gemachtigden,

de Estse regering, vertegenwoordigd door N. Grünberg als gemachtigde,

Ierland, vertegenwoordigd door M. Browne, L. Williams, E. Creedon en A. Joyce als gemachtigden, bijgestaan door E. Gibson, BL,

de Franse regering, vertegenwoordigd door D. Colas, E. de Moustier en E. Armoet als gemachtigden,

de Letse regering, vertegenwoordigd door I. Kucina en J. Davidoviča als gemachtigden,

de Hongaarse regering, vertegenwoordigd door M. Fehér en G. Koós als gemachtigden,

de Oostenrijkse regering, vertegenwoordigd door C. Pesendorfer als gemachtigde,

de Poolse regering, vertegenwoordigd door B. Majczyna, D. Lutostańska en J. Sawicka als gemachtigden,

de regering van het Verenigd Koninkrijk, vertegenwoordigd door S. Brandon en C. Brodie als gemachtigden, bijgestaan door C. Knight, barrister, en G. Facenna, QC,

de Europese Commissie, vertegenwoordigd door I. Martínez del Peral, P. Costa de Oliveira, R. Troosters en D. Nardi als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 3 mei 2018,

het navolgende

Arrest

1

Het verzoek om een prejudiciële beslissing betreft in wezen de uitlegging van artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11) (hierna: ‘richtlijn 2002/58’), gelezen in het licht van de artikelen 7 en 8 het Handvest van de grondrechten van de Europese Unie (hierna: ‘Handvest’).

2

Dit verzoek is ingediend in het kader van een door het Ministerio Fiscal (openbaar ministerie, Spanje) ingesteld beroep tegen de beslissing van de Juzgado de Instrucción nr. 3 de Tarragona (onderzoeksrechtbank nr. 3 Tarragona, Spanje; hierna: ‘onderzoeksrechter’) waarbij de gerechtelijke politie toegang wordt geweigerd tot persoonsgegevens die worden bewaard door aanbieders van elektronische-communicatiediensten.

Toepasselijke bepalingen

Unierecht

Richtlijn 95/46
3

Volgens artikel 2, onder b), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31), moet voor de toepassing van deze richtlijn onder ‘verwerking van persoonsgegevens’ worden verstaan, ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’.

4

Artikel 3 van die richtlijn, met als opschrift ‘Werkingssfeer’, bepaalt:

‘1.

De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2.

De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:

die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied,

die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht.’

Richtlijn 2002/58
5

Overwegingen 2, 11, 15 en 21 van richtlijn 2002/58 luiden als volgt:

‘(2)

Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het [Handvest]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 [van dit Handvest] bedoelde rechten.

[…]

(11)

Deze richtlijn is evenmin [als] richtlijn [95/46] van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het Gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de Rechten van de Mens, in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

[…]

(15)

Een communicatie kan naamgevings-, nummerings- of adresseringsgegevens omvatten die door de verzender van een communicatie of door de gebruiker van een verbinding worden verstrekt om de communicatie tot stand te brengen. Wanneer deze gegevens door het netwerk waarover de communicatie wordt doorgegeven, worden omgezet om de transmissie tot stand te brengen, behoren zij ook tot de verkeersgegevens. […]

[…]

(21)

Er moeten maatregelen worden getroffen om onbevoegde toegang tot communicatie te verhinderen, teneinde het vertrouwelijk karakter van communicatie via openbare communicatienetwerken en openbare elektronische-communicatiediensten te beschermen, zowel ten aanzien van de inhoud zelf als van gegevens over die communicatie. De nationale wetgeving van sommige lidstaten verbiedt uitsluitend opzettelijke onbevoegde toegang tot communicatie.’

6

Artikel 1van richtlijn 2002/58, met als opschrift ‘Werkingssfeer en doelstelling’, luidt:

‘1.

Deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronische-communicatieapparatuur en -diensten in de Gemeenschap.

2.

Voor […] de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op richtlijn [95/46]. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn.

3.

Deze richtlijn is niet van toepassing op activiteiten die niet onder het EG-Verdrag vallen, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied.’

7

Artikel 2 van richtlijn 2002/58 heeft als opschrift ‘Definities’ en bepaalt:

‘Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (kaderrichtlijn) [(PB 2002, L 108, blz. 33)] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

[…]

b)

‘verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c)

‘locatiegegevens’: gegevens die in een elektronische-communicatienetwerk of door een elektronische-communicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronische-communicatiedienst wordt aangegeven;

d)

‘communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische-communicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronische-communicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

[…]’

8

Artikel 3 van richtlijn 2002/58, met als opschrift ‘Betrokken diensten’, bepaalt:

‘Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.’

9

Artikel 5 van die richtlijn, met als opschrift ‘Vertrouwelijk karakter van de communicatie’, bepaalt:

‘1.

De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. […]

[…]

3.

De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn [95/46], onder meer over de doeleinden van de verwerking. […]’

10

Artikel 6 van richtlijn 2002/58 heeft als opschrift ‘Verkeersgegevens’ en luidt:

‘1.

Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.

2.

Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

[…]’

11

Artikel 15 van die richtlijn, met als opschrift ‘Toepassing van een aantal bepalingen van richtlijn [95/46]’, bepaalt in lid 1:

‘De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.’

Spaans recht

Wet 25/2007
12

Artikel 1 van Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (wet 25/2007 inzake de bewaring van gegevens betreffende elektronische communicatie en openbare communicatienetwerken) van 18 oktober 2007 (BOE nr. 251 van 19 oktober 2007, blz. 42517), bepaalt:

‘1.

Deze wet strekt tot regulering van de verplichting van de aanbieders tot bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van elektronische-communicatiediensten of van openbare communicatienetwerken, alsook van de verplichting tot verstrekking van die gegevens aan bevoegde ambtenaren, mits ze worden opgevraagd met rechterlijke toestemming met het oog op het opsporen, onderzoeken en vervolgen van ernstige delicten als bedoeld in de Código Penal (Spaans strafwetboek) of in de bijzondere strafwetten.

2.

Deze wet heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren.

[…]’

Strafwetboek
13

Artikel 13 van Ley Orgánica 10/1995 del Código Penal (strafwetboek) van 23 november 1995 (BOE nr. 281 van 24 november 1995, blz. 33987) bepaalt in lid 1:

‘Ernstige delicten zijn die waarop de wet een zware straf stelt.’

14

Artikel 33 van dat wetboek bepaalt:

‘1.

De straffen zijn naar hun aard en duur ingedeeld in zware, minder zware en lichte straffen.

2.

Zware straffen zijn:

a)

de herzienbare levenslange gevangenisstraf.

b)

de gevangenisstraf van meer dan vijf jaar.

[…]’

Wetboek van strafvordering
15

Na de feiten in het hoofdgeding is de Ley de Enjuiciamiento Criminal (wetboek van strafvordering) gewijzigd door Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (organieke wet 13/2015 tot wijziging van het wetboek van strafvordering ter versterking van de procedurele waarborgen en regulering van technologische onderzoeksmethodes) van 5 oktober 2015 (BOE nr. 239 van 6 oktober 2015, blz. 90192).

16

Deze wet is in werking getreden op 6 december 2015 en heeft aan het wetboek van strafvordering bepalingen toegevoegd inzake de toegang tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens over telefonische en elektronische communicatie.

17

Artikel 579, lid 1, van het wetboek van strafvordering, in de versie na de organieke wet 13/2015, luidt:

‘1.

De rechter kan toestemming geven voor de interceptie van de privécorrespondentie die de verdachte per post, telegraaf, fax, Burofax of internationale postwissels verzendt of ontvangt, alsook voor het openen en onderzoeken hiervan indien er aanwijzingen zijn dat hiermee een voor de zaak relevant feit of relevante factor aan het licht kan worden gebracht of kan worden nagetrokken, indien het onderzoek zich op één van de volgende delicten richt:

1o)

doleuze delicten waarop een maximumgevangenisstraf van ten minste drie jaar is gesteld;

2o)

delicten gepleegd door een criminele groep of organisatie;

3o)

terroristische delicten.

[…]’

18

Artikel 588 ter, onder j), van dat wetboek bepaalt:

‘1.

Elektronische gegevens die uit hoofde van de wetgeving betreffende de bewaring van gegevens inzake elektronische communicatie dan wel eigener beweging om commerciële of andere redenen worden bewaard door aanbieders van communicatiediensten of personen die communicatie faciliteren, en verband houden met communicatieprocessen, mogen uitsluitend met rechterlijke toestemming worden verstrekt voor gebruik in de procedure.

2.

Wanneer kennisneming van deze gegevens onontbeerlijk is voor het onderzoek, wordt de bevoegde rechter verzocht om toestemming voor het verzamelen van de informatie die zich bevindt in de geautomatiseerde bestanden van de aanbieders van telecommunicatiediensten, waaronder het zoeken naar kruisverbanden of intelligent opsporen van gegevens, mits de aard van de bekend te maken gegevens en de redenen voor de verstrekking van die gegevens worden gepreciseerd.’

Hoofdgeding en prejudiciële vragen

19

Hernández Sierra heeft bij de politie een klacht ingediend wegens diefstal met geweld waarvan hij op 16 februari 2015 slachtoffer was geworden en waarbij zijn portefeuille en mobiele telefoon waren gestolen en hij gewond was geraakt.

20

Op 27 februari 2015 heeft de gerechtelijke politie de onderzoeksrechter verzocht om verschillende aanbieders van elektronische-communicatiediensten te gelasten de telefoonnummers door te geven die tussen 16 en 27 februari 2015 waren geactiveerd met het internationaal identificatienummer voor mobiele apparaten (hierna: ‘IMEI-nummer’) van de gestolen mobiele telefoon, alsook de persoonsgegevens betreffende de civiele identiteit van de houders of gebruikers van de telefoonnummers die overeenkwamen met de met dat IMEI-nummer geactiveerde simkaarten, zoals hun naam, voornaam en, in voorkomend geval, adres.

21

De onderzoeksrechter heeft dit verzoek bij beschikking van 5 mei 2015 afgewezen. Hij heeft om te beginnen geoordeeld dat de gevraagde maatregel niet geschikt was om de daders van het delict te identificeren, en voorts dat gegevens die door aanbieders van elektronische-communicatiediensten werden bewaard, volgens wet 25/2007 slechts mochten worden verstrekt voor ernstige delicten. In het strafwetboek stonden op ernstige delicten vrijheidsstraffen van meer dan vijf jaar, en de feiten in het hoofdgeding leken geen dergelijk delict te vormen, aldus de onderzoeksrechter.

22

Het openbaar ministerie heeft tegen deze beschikking hoger beroep ingesteld bij de verwijzende rechter, aangezien het van oordeel was dat toestemming had moeten worden gegeven voor het verstrekken van de betrokken gegevens, gelet op de aard van de feiten en gezien een arrest van de Tribunal Supremo (hoogste rechterlijke instantie, Spanje) van 26 juli 2010 in een vergelijkbare zaak.

23

De verwijzende rechter geeft aan dat de Spaanse wetgever het wetboek van strafvordering ná de voormelde beschikking heeft gewijzigd met de organieke wet 13/2015. Deze wet, die naar verluidt pertinent is voor de uitkomst in het hoofdgeding, heeft volgens de verwijzende rechter twee nieuwe, alternatieve criteria ingevoerd om de ernst van een delict te bepalen. Het eerste is een materieel criterium, waarbij wordt nagegaan of de strafbaar gestelde gedragingen specifiek en ernstig van aard zijn en individuele en collectieve juridische belangen in bijzondere mate aantasten. Het tweede criterium dat de nationale wetgever heeft ingevoerd is formeel-normatief, namelijk de straf die op het betrokken delict staat. De drempel van drie jaar gevangenisstraf die daarin sindsdien wordt bepaald, bestrijkt echter de overgrote meerderheid van delicten. Overigens kan het belang dat de staat heeft bij het bestraffen van strafbare gedragingen, volgens de verwijzende rechter geen onevenredige inmenging in de in het Handvest verankerde grondrechten rechtvaardigen.

24

In dit verband meent de verwijzende rechter dat in het hoofdgeding de richtlijnen 95/46 en 2002/58 de aanknopingspunten vormen met het Handvest. De nationale regeling in het hoofdgeding valt dus overeenkomstig artikel 51, lid 1, van het Handvest binnen de werkingssfeer ervan, ook al is richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB 2006, L 105, blz. 54), bij arrest van 8 april 2014, Digital Rights Ireland e.a. (C-293/12 en C-594/12, EU:C:2014:238), ongeldig verklaard.

25

Volgens de verwijzende rechter heeft het Hof in dat arrest erkend dat het bewaren en verstrekken van verkeersgegevens bijzonder zware inmengingen vormen in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten, en heeft het de criteria bepaald voor de beoordeling of het evenredigheidsbeginsel is nageleefd, waaronder de ernst van een delict, die de bewaring van en de toegang tot die gegevens voor onderzoeksdoeleinden rechtvaardigt.

26

In die omstandigheden heeft de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

‘1)

Geldt als criterium om te bepalen of een delict voldoende ernstig is om inmenging in de door de artikelen 7 en 8 van het [Handvest] erkende grondrechten te rechtvaardigen, uitsluitend de straf die kan worden opgelegd ter zake van het onderzochte delict of is het bovendien noodzakelijk dat door de strafbaar gestelde gedraging individuele en/of collectieve rechtsgoederen in bijzondere mate worden aangetast?

2)

Indien het verenigbaar is met de constitutionele beginselen van de Unie die het Hof in zijn arrest [van 8 april 2014, Digital Rights Ireland e.a., C-293/12 en C-594/12, EU:C:2014:238] heeft toegepast als maatstaven voor de strikte toetsing van richtlijn [2002/58], dat de ernst van het delict uitsluitend wordt vastgesteld op basis van de op te leggen straf, wat zou dan het minimumniveau van de straf moeten zijn? Zou een algemeen vereiste van minimaal drie jaar voldoen?’

Procedure bij het Hof

27

Bij beslissing van de president van het Hof van 23 mei 2016 werd de procedure bij het Hof geschorst in afwachting van de uitspraak in de gevoegde zaken Tele2 Sverige en Watson e.a., C-203/15 en C-698/15 (arrest van 21 december 2016, EU:C:2016:970; hierna: ‘arrest Tele2 Sverige en Watson e.a.’). Na de uitspraak in deze zaken werd de verwijzende rechter gevraagd of hij zijn verzoek om een prejudiciële beslissing wenste te handhaven dan wel in te trekken. In antwoord daarop heeft de verwijzende rechter bij brief van 30 januari 2017, ingekomen bij het Hof op 14 februari 2017, te kennen gegeven dat dat arrest hem zijns inziens niet toeliet om de in het hoofdgeding aan de orde zijnde nationale regeling met voldoende zekerheid te toetsen aan het Unierecht. Vervolgens is de procedure bij het Hof hervat op 16 februari 2017.

Beantwoording van de prejudiciële vragen

28

De Spaanse regering stelt enerzijds dat het Hof niet bevoegd is om het verzoek om een prejudiciële beslissing te beantwoorden, en anderzijds dat dit verzoek niet-ontvankelijk is.

Bevoegdheid van het Hof

29

In haar bij het Hof ingediende schriftelijke opmerkingen heeft de Spaanse regering — hierin ter terechtzitting gesteund door de regering van het Verenigd Koninkrijk — gesteld dat het Hof niet bevoegd is om op de prejudiciële vragen te antwoorden, omdat het hoofdgeding volgens artikel 3, lid 2, eerste streepje, van richtlijn 95/46 en artikel 1, lid 3, van richtlijn 2002/58 uitgesloten is van de werkingssfeer van deze twee richtlijnen. Het geding valt dus niet binnen de werkingssfeer van het Unierecht, zodat het Handvest — volgens artikel 51, lid 1, ervan — niet van toepassing is.

30

Volgens de Spaanse regering heeft het Hof in het arrest Tele2 Sverige en Watson e.a. weliswaar geoordeeld dat een wettelijke maatregel die de toegang van de nationale autoriteiten tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens regelt, binnen de werkingssfeer van richtlijn 2002/58 valt, maar gaat het in casu om een verzoek van een overheidsinstantie om, krachtens een rechterlijke beslissing in het kader van een strafrechtelijk onderzoek, toegang te verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens. De Spaanse regering leidt daaruit af dat het indienen van een dergelijk verzoek om toegang tot de uitoefening door nationale autoriteiten van het ius puniendi behoort, en dus een activiteit van de staat op strafrechtelijk gebied betreft die onder de uitzondering valt van artikel 3, lid 2, eerste streepje, van richtlijn 95/46 en artikel 1, lid 3, van richtlijn 2002/58.

31

Bij de beoordeling van deze exceptie van onbevoegdheid zij erop gewezen dat artikel 1van richtlijn 2002/58 in lid 1 ervan bepaalt dat deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om onder meer een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen. Lid 2 van artikel 1 van die richtlijn bepaalt dat deze richtlijn voor de doelstellingen van lid 1 een specificatie van en een aanvulling op richtlijn 95/46 vormt.

32

Volgens artikel 1, lid 3, van richtlijn 2002/58 zijn van de werkingssfeer ervan uitgesloten de ‘activiteiten van de staat’ op de aldaar bedoelde gebieden, waaronder de activiteiten van de staat op strafrechtelijk gebied en die welke verband houden met openbare veiligheid, defensie en staatsveiligheid, met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid (arrest Tele2 Sverige en Watson e.a., punt 69 en aldaar aangehaalde rechtspraak). De in die bepaling als voorbeeld genoemde activiteiten zijn in alle gevallen specifieke activiteiten van staten of overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien (zie naar analogie, met betrekking tot artikel 3, lid 2, eerste streepje, van richtlijn 95/46, arrest van 10 juli 2018, Jehovan Todistajat, C-25/17, EU:C:2018:551, punt 38 en aldaar aangehaalde rechtspraak).

33

Volgens artikel 3 van richtlijn 2002/58 is deze richtlijn van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen (hierna: ‘elektronische-communicatiediensten’). Bijgevolg moet worden aangenomen dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt (arrest Tele2 Sverige en Watson e.a., punt 70).

34

Met betrekking tot artikel 15, lid 1, van richtlijn 2002/58 heeft het Hof reeds geoordeeld dat de daarin bedoelde wettelijke maatregelen binnen de werkingssfeer van die richtlijn vallen, ook al betreffen zij specifieke activiteiten van staten of overheidsdiensten die niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien, en zelfs al stemmen de met die maatregelen nagestreefde doelstellingen grotendeels overeen met de doelstellingen van de in artikel 1, lid 3, van richtlijn 2002/58 bedoelde activiteiten. Artikel 15, lid 1, van deze richtlijn vooronderstelt immers noodzakelijkerwijs dat de daarin bedoelde nationale maatregelen binnen de werkingssfeer van die richtlijn vallen, aangezien deze richtlijn uitdrukkelijk bepaalt dat lidstaten die maatregelen slechts met inachtneming van de in de richtlijn geformuleerde voorwaarden mogen treffen. Bovendien regelen de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen de activiteit van aanbieders van elektronische-communicatiediensten voor de in die bepaling vermelde doeleinden (zie in die zin arrêt Tele2 Sverige en Watson e.a., punten 72–74).

35

Het Hof is tot de slotsom gekomen dat artikel 15, lid 1, gelezen in samenhang met artikel 3 van richtlijn 2002/58, aldus moet worden uitgelegd dat binnen de werkingssfeer van deze richtlijn niet alleen wettelijke maatregelen vallen die aanbieders van elektronische-communicatiediensten de verplichting opleggen om verkeers- en locatiegegevens te bewaren, maar ook wettelijke maatregelen inzake de toegang van nationale autoriteiten tot door die aanbieders bewaarde gegevens (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 75–76).

36

De door artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van de vertrouwelijkheid van communicatie en daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten. Zoals in overweging 21 van die richtlijn wordt bevestigd, beoogt deze richtlijn ‘elke’ onbevoegde ‘toegang’ tot communicatie, daaronder begrepen de toegang tot ‘gegevens over die communicatie’, te verhinderen teneinde het vertrouwelijke karakter van elektronische communicatie te beschermen (arrest Tele2 Sverige en Watson e.a., punt 77).

37

Hieraan moet worden toegevoegd dat wanneer wettelijke maatregelen aanbieders van elektronische-communicatiediensten de verplichting opleggen om persoonsgegevens te bewaren of om bevoegde nationale autoriteiten daar toegang toe te verlenen, dit noodzakelijkerwijs impliceert dat die aanbieders die gegevens verwerken (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 75–78). Dergelijke maatregelen, die dus de activiteiten van die aanbieders regelen, kunnen dan ook niet worden gelijkgesteld met de in artikel 1, lid 3, van richtlijn 2002/58 bedoelde specifieke activiteiten van staten.

38

Zoals in casu uit de verwijzingsbeslissing blijkt, is het verzoek in het hoofdgeding, waarmee de gerechtelijke politie via rechterlijke toestemming toegang wil verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens, gebaseerd op wet 25/2007 die de toegang van overheidsinstanties tot dergelijke gegevens regelt, gelezen in samenhang met het wetboek van strafvordering zoals van toepassing ten tijde van de feiten in het hoofdgeding. Met deze regeling kan de gerechtelijke politie, wanneer zij de op grond van die regeling gevraagde rechterlijke toestemming verkrijgt, aanbieders van elektronische-communicatiediensten verplichten om persoonsgegevens ter beschikking te stellen en om deze gegevens zodoende, gelet op de definitie in artikel 2, onder b), van richtlijn 95/46, die volgens artikel 2, lid 1, van richtlijn 2002/58 van toepassing is in de context van laatstgenoemde richtlijn, te ‘verwerken’ in de zin van deze twee richtlijnen. De betrokken regeling regelt dus activiteiten van aanbieders van elektronische-communicatiediensten en valt bijgevolg binnen de werkingssfeer van richtlijn 2002/58.

39

In die situatie kan de door de Spaanse regering aangevoerde omstandigheid dat het toegangsverzoek werd ingediend in het kader van een strafrechtelijk onderzoek, niet tot gevolg hebben dat richtlijn 2002/58 overeenkomstig artikel 1, lid 3, ervan niet van toepassing is op het hoofdgeding.

40

Het is dienaangaande eveneens irrelevant dat het toegangsverzoek in het hoofdgeding, zoals uit het schriftelijke antwoord van de Spaanse regering op een door het Hof gestelde vraag blijkt en zoals zowel deze regering als het openbaar ministerie ter terechtzitting hebben bevestigd, ertoe strekt toegang te verkrijgen tot uitsluitend de telefoonnummers die overeenstemmen met de met het IMEI-nummer van de gestolen mobiele telefoon geactiveerde simkaarten en de civiele-identiteitsgegevens van de houders van die kaarten, zoals hun naam, voornaam en, in voorkomend geval, adres, en niet tot gegevens betreffende de oproepen die met die simkaarten tot stand zijn gebracht of over de locatie van de gestolen mobiele telefoon.

41

Zoals de advocaat-generaal in punt 54 van zijn conclusie heeft opgemerkt, is richtlijn 2002/58 volgens artikel 1, lid 1, en artikel 3 ervan immers van toepassing op elke verwerking van persoonsgegevens in het kader van de levering van elektronische-communicatiediensten. Bovendien dekt het begrip ‘verkeersgegevens’ volgens artikel 2, tweede alinea, onder b), van die richtlijn alle ‘gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan’.

42

Aangaande dit laatste punt, en wat meer in het bijzonder civiele-identiteitsgegevens van simkaarthouders betreft, blijkt uit overweging 15 van richtlijn 2002/58 dat verkeersgegevens onder meer naam en adres kunnen omvatten van de persoon die een communicatie verzendt of een verbinding gebruikt om een communicatie tot stand te brengen. Civiele-identiteitsgegevens van simkaarthouders kunnen overigens noodzakelijk blijken om de geleverde elektronische-communicatiediensten te kunnen factureren en maken dus deel uit van de verkeersgegevens, zoals die in artikel 2, tweede alinea, onder b), van die richtlijn worden gedefinieerd. Bijgevolg vallen die gegevens binnen de werkingssfeer van richtlijn 2002/58.

43

Het Hof is derhalve bevoegd om de vraag van de verwijzende rechter te beantwoorden.

Ontvankelijkheid

44

Volgens de Spaanse regering is het verzoek om een prejudiciële beslissing niet-ontvankelijk omdat daarin niet duidelijk wordt aangegeven op grond van welke Unierechtelijke bepalingen het Hof wordt verzocht zich uit te spreken. Bovendien is het in het hoofdgeding aan de orde zijnde verzoek van de gerechtelijke politie niet bedoeld om de oproepen die tot stand zijn gebracht via de met het IMEI-nummer van de gestolen mobiele telefoon geactiveerde simkaarten af te tappen, maar om die kaarten te linken aan de houders ervan, zodat niet wordt geraakt aan de vertrouwelijkheid van de communicatie. Het in de prejudiciële vragen genoemde artikel 7 van het Handvest is dan ook irrelevant in de onderhavige zaak, aldus de Spaanse regering.

45

Volgens vaste rechtspraak van het Hof is het uitsluitend een zaak van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt, om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt, te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging van het Unierecht, is het Hof dus in beginsel verplicht om daarop te antwoorden. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, of wanneer het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen (arrest van 10 juli 2018, Jehovan Todistajat, C-25/17, EU:C:2018:551, punt 31 en aldaar aangehaalde rechtspraak).

46

In het onderhavige geval bevat de verwijzingsbeslissing voldoende feitelijke en juridische gegevens om zowel te achterhalen op welke bepalingen van Unierecht de prejudiciële vragen betrekking hebben als de draagwijdte van die vragen te begrijpen. Uit de verwijzingsbeslissing blijkt in het bijzonder dat de prejudiciële vragen ertoe strekken de verwijzende rechter in staat te stellen te beoordelen of en in welke mate de nationale regeling, waarop het in het hoofdgeding aan de orde zijnde verzoek van de gerechtelijke politie is gebaseerd, een doel nastreeft dat een aantasting van de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten kan rechtvaardigen. Welnu, volgens de aanwijzingen van diezelfde rechter valt de nationale regeling binnen de werkingssfeer van richtlijn 2002/58 en is het Handvest dus van toepassing op het hoofdgeding. De prejudiciële vragen houden aldus rechtstreeks verband met het voorwerp van het hoofdgeding en kunnen dan ook niet als hypothetisch worden beschouwd.

47

In die omstandigheden zijn de prejudiciële vragen ontvankelijk.

Ten gronde

48

Met zijn twee vragen, die samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat de toegang van overheidsinstanties tot de identificatiegegevens van de houders van met een gestolen mobiele telefoon geactiveerde simkaarten — zoals hun naam, voornaam en, in voorkomend geval, adres — een zodanig ernstige inmenging in de door die artikelen van het Handvest gewaarborgde grondrechten van deze laatsten vormt dat die toegang, wat het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten betreft, zou moeten worden beperkt tot de bestrijding van zware criminaliteit en, zo ja, aan de hand van welke criteria de ernst van het betrokken delict moet worden beoordeeld.

49

In dit verband blijkt uit de verwijzingsbeslissing dat, zoals de advocaat-generaal in punt 38 van zijn conclusie in wezen heeft opgemerkt, het verzoek om een prejudiciële beslissing er niet toe strekt om uit te maken of de aanbieders van elektronische-communicatiediensten de in het hoofdgeding aan de orde zijnde persoonsgegevens hebben bewaard met inachtneming van de voorwaarden van artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest. Zoals uit punt 46 van het onderhavige arrest blijkt, betreft het verzoek uitsluitend de vraag of en in welke mate het doel dat met de in het hoofdgeding aan de orde zijnde nationale regeling wordt nagestreefd, kan rechtvaardigen dat overheidsinstanties zoals de gerechtelijke politie toegang hebben tot dergelijke gegevens, en gaat het verzoek niet over de andere toegangsvoorwaarden die uit voormeld artikel 15, lid 1, voortvloeien.

50

De verwijzende rechter vraagt zich in het bijzonder af welke elementen in aanmerking moeten worden genomen bij de beoordeling of delicten waarvoor politiediensten in het kader van een onderzoek toegang kan worden verleend tot persoonsgegevens die door aanbieders van elektronische-communicatiediensten worden bewaard, voldoende ernstig zijn om de inmenging die een dergelijke toegang betekent in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten, zoals uitgelegd door het Hof in zijn arrest van 8 april 2014, Digital Rights Ireland e.a. (C-293/12 en C-594/12, EU:C:2014:238), en in het arrest Tele2 Sverige en Watson e.a., te rechtvaardigen.

51

Wat betreft de vraag of sprake is van inmenging in die grondrechten, zij eraan herinnerd dat, zoals de advocaat-generaal in de punten 76 en 77 van zijn conclusie heeft aangegeven, de toegang van overheidsinstanties tot dergelijke gegevens inmenging in het in artikel 7 van het Handvest neergelegde grondrecht op eerbiediging van het privéleven vormt, zelfs al kan die inmenging om bepaalde redenen niet als ‘ernstig’ worden aangemerkt en zonder dat van belang is of de informatie over het privéleven al dan niet gevoelig is en of de betrokkenen door die inmenging enig nadeel hebben ondervonden. Een dergelijke toegang vormt tevens inmenging in het door artikel 8 van het Handvest gewaarborgde grondrecht op bescherming van persoonsgegevens, aangezien die toegang een verwerking van persoonsgegevens is [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 124 en 126 en aldaar aangehaalde rechtspraak].

52

Wat betreft de doelstellingen die een rechtvaardiging kunnen vormen voor een nationale regeling als die in het hoofdgeding, die de toegang van overheidsinstanties tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens regelt en die aldus afwijkt van het beginsel van de vertrouwelijkheid van elektronische communicatie, zij eraan herinnerd dat de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 gegeven opsomming van doelstellingen exhaustief is, zodat die toegang daadwerkelijk en strikt op een van die doelstellingen moet berusten (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 90 en 115).

53

Aangaande de doelstelling strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen, dient te worden geconstateerd dat het daarbij volgens de bewoordingen van artikel 15, lid 1, eerste zin, van richtlijn 2002/58 evenwel niet alleen over de bestrijding van ernstige delicten maar over ‘strafbare feiten’ in het algemeen gaat.

54

Stellig heeft het Hof in dit verband geoordeeld dat ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, alleen de bestrijding van zware criminaliteit kan rechtvaardigen dat overheidsinstanties toegang krijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens waaruit, in hun geheel beschouwd, precieze conclusies kunnen worden getrokken over het privéleven van de betrokken personen (zie in die zin arrest Tele2 Sverige en Watson e.a., punt 99).

55

Het Hof heeft die uitlegging echter gemotiveerd met de overweging dat de met een toegangsregeling nagestreefde doelstelling in verhouding moet staan tot de ernst van de inmenging in de betrokken grondrechten die deze ingreep meebrengt (zie in die zin arrest Tele2 Sverige en Watson e.a., punt 115).

56

Volgens het evenredigheidsbeginsel kan ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, ernstige inmenging immers slechts worden gerechtvaardigd door de doelstelling om — eveneens ‘ernstige’ — criminaliteit te bestrijden.

57

Is de inmenging die een dergelijke toegang veroorzaakt daarentegen niet ernstig, dan kan die toegang worden gerechtvaardigd door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van ‘strafbare feiten’ in het algemeen.

58

Allereerst moet dus worden uitgemaakt of in casu, gelet op de omstandigheden van de onderhavige zaak, de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die zou voortvloeien uit het feit dat aan de gerechtelijke politie toegang tot de in het hoofdgeding aan de orde zijnde gegevens wordt verleend, als ‘ernstig’ moet worden beschouwd.

59

In dit verband heeft het verzoek in het hoofdgeding, waarmee de gerechtelijke politie in een strafrechtelijk onderzoek via rechterlijke toestemming toegang wil verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens, louter tot doel de houders te identificeren van de simkaarten die gedurende een periode van twaalf dagen met het IMEI-nummer van de gestolen mobiele telefoon zijn geactiveerd. Zoals in punt 40 van het onderhavige arrest is uiteengezet, strekt dat verzoek er enkel toe om toegang te verkrijgen tot de telefoonnummers die overeenstemmen met die simkaarten en tot de civiele-identiteitsgegevens van de houders van die kaarten, zoals hun naam, voornaam en, in voorkomend geval, adres. Zoals zowel de Spaanse regering als het openbaar ministerie ter terechtzitting heeft bevestigd, gaat het daarbij echter niet over de communicatie die met de gestolen mobiele telefoon tot stand is gebracht of over de locatie van die telefoon.

60

Met de via het toegangsverzoek in het hoofdgeding beoogde gegevens is het dus blijkbaar alleen mogelijk om, gedurende een bepaalde periode, de met de gestolen mobiele telefoon geactiveerde simkaart(en) in verband te brengen met de civiele identiteit van de houders van die simkaarten. Zonder aanvullende gegevens over de communicatie die met die simkaarten tot stand is gebracht en over de locatie, kan met die gegevens noch de datum, het uur, de duur of de ontvanger van de met de betrokken simkaart(en) verrichte oproepen worden achterhaald, noch waar die communicatie heeft plaatsgevonden of hoe vaak in een gegeven periode met bepaalde personen is gecommuniceerd. Uit die gegevens kunnen dus geen nauwkeurige conclusies over het privéleven van de betrokken personen worden getrokken.

61

In die omstandigheden kan de toegang tot de in het verzoek in het hoofdgeding bedoelde gegevens niet worden aangemerkt als een ‘ernstige’ inmenging in de grondrechten van de personen waarop de gegevens betrekking hebben.

62

Zoals uit de punten 53 tot en met 57 van dit arrest blijkt, kan de inmenging die een dergelijke gegevenstoegang zou veroorzaken dus worden gerechtvaardigd door de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 vermelde doelstelling om ‘strafbare feiten’ in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, zonder dat deze strafbare feiten als ‘ernstig’ moeten worden aangemerkt.

63

Gelet op het voorgaande dient op de gestelde vragen te worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat de toegang van overheidsinstanties tot de identificatiegegevens van houders van met een gestolen mobiele telefoon geactiveerde simkaarten — zoals hun naam, voornaam en, in voorkomend geval, adres — geen zodanig ernstige inmenging in de door die artikelen van het Handvest gewaarborgde grondrechten van laatstgenoemden oplevert dat die toegang — op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten — moet worden beperkt tot de bestrijding van zware criminaliteit.

Kosten

64

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in samenhang met de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, moet aldus worden uitgelegd dat de toegang van overheidsinstanties tot de identificatiegegevens van houders van met een gestolen mobiele telefoon geactiveerde simkaarten — zoals hun naam, voornaam en, in voorkomend geval, adres — geen zodanig ernstige inmenging in de door die artikelen van het Handvest gewaarborgde grondrechten van laatstgenoemden oplevert dat die toegang — op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten — moet worden beperkt tot de bestrijding van zware criminaliteit.

ondertekeningen

Conclusie 03‑05‑2018

Inhoudsindicatie

‘Prejudiciële verwijzing — Elektronische communicatie — Verwerking van persoonsgegevens — Recht op privéleven en recht op bescherming van persoonsgegevens — Richtlijn 2002/58/EG — Artikel 1 en artikel 15, lid 1 — Handvest van de grondrechten van de Europese Unie — Artikelen 7 en 8 en artikel 52, lid 1 — Gegevens die zijn verzameld bij het aanbieden van elektronische-communicatiediensten — Verzoek om toegang van een politieautoriteit met het oog op een strafrechtelijk onderzoek — Evenredigheidsbeginsel — Begrip ‘ernstige criminaliteit’ die een inmenging in de fundamentele rechten kan rechtvaardigen — Criteria voor ernst — Voorgeschreven straf — Minimumdrempel’

H. saugmandsgaard øe

Partij(en)

Zaak C-207/161.

Ministerio Fiscal

[verzoek van de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje) om een prejudiciële beslissing]

I. Inleiding

1.

De onderhavige prejudiciële verwijzing betreft in wezen de uitlegging van het begrip ‘ernstige criminaliteit’2. in de zin van de rechtspraak van het Hof die voortvloeit uit het arrest Digital Rights Ireland e.a.3. (hierna: ‘arrest Digital Rights’) en het arrest Tele2 Sverige en Watson e.a.4. (hierna: ‘arrest Tele2’), waarin dit begrip is gebruikt als criterium voor de beoordeling van de rechtmatigheid en de evenredigheid van een inmenging in de rechten die zijn neergelegd in de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: ‘Handvest’), te weten het recht op eerbiediging van het privéleven en het familie- en gezinsleven respectievelijk het recht op bescherming van persoonsgegevens.

2.

Aanleiding voor deze prejudiciële verwijzing is een beroep dat is ingesteld tegen een gerechtelijke beschikking waarbij een verzoek van een politieautoriteit om mededeling, met het oog op identificatie van personen in het kader van een strafrechtelijk onderzoek, van bepaalde persoonsgegevens die worden bewaard door mobiele-telefonieaanbieders. De motivering van de bestreden beschikking berustte met name op de overweging dat de feiten die het voorwerp waren van dit onderzoek geen ernstige delicten waren, in weerwil van hetgeen krachtens de toepasselijke Spaanse wet was vereist.

3.

De verwijzende rechter vraagt het Hof in wezen op welke wijze de drempel moet worden vastgesteld waarboven de ernst van een delict, gelet op de aangehaalde rechtspraak, schending van de in de artikelen 7 en 8 van het Handvest neergelegde fundamentele rechten rechtvaardigt ingeval de bevoegde nationale autoriteiten toegang wensen tot persoonsgegevens die worden bewaard door aanbieders van elektronische-communicatiediensten.

4.

Na te hebben vastgesteld dat het Hof bevoegd is om uitspraak te doen op dit verzoek om een prejudiciële beslissing en dat dit verzoek ontvankelijk is, zal ik aantonen dat de toegang tot persoonsgegevens in omstandigheden als in casu leidt tot een inmenging in de hierboven genoemde fundamentele rechten die niet overeenkomt met de gevallen waarin uitsluitend de bestrijding van ernstige criminaliteit schending van deze rechten kan rechtvaardigen, overeenkomstig de aangehaalde rechtspraak.

5.

Aangezien het, gelet op het bijzondere voorwerp van het hoofdgeding, mijns inziens niet noodzakelijk is dat het Hof antwoordt op de prejudiciële vragen in hun oorspronkelijke formulering, zal ik louter subsidiair aanwijzingen geven met betrekking tot de criteria voor een mogelijke definitie van het begrip ‘ernstige criminaliteit’ in de zin van deze rechtspraak, in het bijzonder met betrekking tot het criterium van de voorgeschreven straf.

II. Toepasselijke bepalingen

A. Unierecht

6.

In de overwegingen van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)5., zoals gewijzigd bij richtlijn 2009/136/EG6. (hierna: ‘richtlijn 2002/58’), is het volgende bepaald:

‘(2)

Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het [Handvest]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 bedoelde rechten van het Handvest […].

[…]

(11)

Deze richtlijn is evenmin [als] richtlijn 95/46/EG[7.] van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden [hierna: ‘EVRM’], zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens [hierna: ‘EHRM’], in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het [EVRM] [8.].’

7.

Artikel 1 van richtlijn 2002/58, met als opschrift ‘Werkingssfeer en doelstelling’, luidt als volgt:

‘1.

Deze richtlijn harmoniseert de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen […].

[…]

3.

Deze richtlijn is niet van toepassing op activiteiten die niet onder het EG-Verdrag vallen, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied’.

8.

In artikel 2 van deze richtlijn, met als opschrift ‘Definities’, is het volgende bepaald:

‘Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (kaderrichtlijn) [9.] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

a)

‘gebruiker’: natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

b)

‘verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c)

‘locatiegegevens’: gegevens die worden verwerkt in een elektronische-communicatienetwerk waarmee de geografische positie van de eindapparatuur van een gebruiker van een algemeen beschikbaar elektronische-communicatiedienst wordt aangegeven;

d)

‘communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische-communicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronische-communicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

[…]’

9.

In artikel 15 van richtlijn 2002/58, met als opschrift ‘Toepassing van een aantal bepalingen van richtlijn 95/46/EG’, is in lid 1 bepaald dat ‘[d]e lidstaten […] wettelijke maatregelen [kunnen] treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.’

B. Spaans recht

1. Wet 25/2007
10.

Bij Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (wet 25/2007 inzake de bewaring van gegevens betreffende elektronische communicatie en openbare communicatienetwerken) van 18 oktober 200710. (hierna: ‘wet 25/2007’) is richtlijn 2006/24, welke door het Hof in het arrest Digital Rights ongeldig is verklaard, omgezet in Spaans recht.11.

11.

Artikel 1 van wet 25/2007, in de op de feiten van het hoofdgeding toepasselijke versie, luidt als volgt:

‘1.

Deze wet strekt tot regulering van de verplichting van de aanbieders tot bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van elektronische-communicatiediensten of van openbare communicatienetwerken, alsook van de verplichting tot verstrekking van die gegevens aan bevoegde ambtenaren, mits ze worden opgevraagd met rechterlijke toestemming met het oog op het opsporen, onderzoeken en vervolgen van ernstige delicten als bedoeld in de Código Penal (Spaans wetboek van strafrecht) of in de bijzondere strafwetten.

2.

Deze wet heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren.

[…]’

12.

Artikel 3 van deze wet bevat een opsomming van de gegevens die door de aanbieders moeten worden bewaard. Krachtens lid 1, onder a), punt 1, ii), van dit artikel betreft het hier met name ‘de gegevens die nodig zijn om de bron van een communicatie te traceren en te identificeren, zoals, in het geval van mobiele telefonie, de naam en het adres van de abonnee of geregistreerde gebruiker’.

2. Wetboek van strafrecht
13.

Ingevolge artikel 13, lid 1, van de Código Penal, in de op de feiten van het hoofdgeding toepasselijke versie, zijn ‘[e]rnstige delicten […] die waarop de wet een zware straf stelt’.

14.

Artikel 33 van dit wetboek luidt als volgt:

‘1.

De straffen zijn naar hun aard en duur ingedeeld in zware, minder zware en lichte straffen.

2.

Zware straffen zijn:

a)

De herzienbare levenslange gevangenisstraf.

b)

Gevangenisstraf van meer dan vijf jaar.

[…]’

3. Wetboek van strafvordering
15.

Het Spaanse wetboek van strafvordering is gewijzigd bij Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (organieke wet 13/2015 tot wijziging van het wetboek van strafvordering ter versterking van de procedurele waarborgen en regulering van technologische onderzoeksmethodes) van 5 oktober 201512. (hierna: ‘organieke wet 13/2015’).

16.

Bij deze wet, die op 6 december 2015 in werking is getreden, zijn aan het wetboek van strafvordering bepalingen toegevoegd inzake de toegang tot gegevens die betrekking hebben op telefonische en elektronische communicatie en die door aanbieders van elektronische-communicatiediensten worden bewaard.

17.

Ingevolge artikel 579, lid 1, van het wetboek van strafvordering in de hierboven bedoelde versie ‘[kan] de rechter toestemming geven voor de interceptie van privécorrespondentie die per post, telegraaf, fax, Burofax en internationale postwissels door de verdachte is verzonden of ontvangen, alsook voor het openen en onderzoeken hiervan indien er aanwijzingen zijn dat hiermee een voor de zaak relevant feit of relevante factor aan het licht kan worden gebracht of kan worden nagetrokken, indien het onderzoek zich op één van de volgende delicten richt:

1)

Doleuze delicten waarop een maximumgevangenisstraf van ten minste drie jaar is gesteld.

2)

Delicten gepleegd door een criminele groep of organisatie.

3)

Terroristische delicten.’

18.

Artikel 588 ter, onder j), van dit wetboek, met als opschrift ‘Gegevens in geautomatiseerde bestanden van aanbieders van telecommunicatiediensten’, luidt als volgt:

‘1.

Elektronische gegevens die uit hoofde van de wetgeving betreffende de bewaring van gegevens inzake elektronische communicatie dan wel eigener beweging om commerciële of andere redenen worden bewaard door aanbieders van communicatiediensten of personen die communicatie faciliteren, en verband houden met communicatieprocessen, mogen uitsluitend met rechterlijke toestemming worden verstrekt voor gebruik in de procedure.

2.

Wanneer kennisneming van deze gegevens onontbeerlijk is voor het onderzoek, wordt de bevoegde rechter verzocht om toestemming voor het verzamelen van de informatie die zich bevindt in de geautomatiseerde bestanden van de aanbieders van telecommunicatiediensten, waaronder het zoeken naar kruisverbanden of intelligent opsporen van gegevens, mits de aard van de bekend te maken gegevens en de redenen voor de verstrekking van die gegevens worden gepreciseerd.’

III. Hoofdgeding, prejudiciële vragen en procedure bij het hof

19.

Hernández Sierra heeft bij de politie aangifte gedaan van diefstal met geweldpleging van zijn portefeuille en mobiele telefoon, waarvan hij op 16 februari 2015 slachtoffer zou zijn geworden en waarbij hij zware verwondingen zou hebben opgelopen.

20.

Bij verzoekschrift van 27 februari 2015 heeft de gerechtelijke politie bij de Juzgado de Instrucción no 3 de Tarragona (onderzoeksrechter nr. 3 Tarragona, Spanje; hierna: ‘onderzoeksrechter’) een verzoek ingediend om verschillende telefonieaanbieders te gelasten, ten eerste, de telefoonnummers te verstrekken die tussen 16 februari en 27 februari 2015 met het IMEI-nummer13. van de gestolen mobiele telefoon zijn geactiveerd en, ten tweede, de persoonsgegevens te verstrekken van de houders of gebruikers van alle telefoonnummers behorend bij de met dat IMEI-nummer geactiveerde SIM-kaarten.14.

21.

Bij beschikking van 5 mei 2015 heeft de onderzoeksrechter dit verzoek afgewezen omdat de gevraagde maatregel in beperkte mate geschikt was voor het identificeren van de daders van het delict, en wet 25/2007 hoe dan ook de verstrekking van door telefonieaanbieders bewaarde gegevens beperkte tot ernstige delicten — te weten die delicten waarop in de Código Penal15. een gevangenisstraf van meer dan vijf jaar is gesteld —, terwijl de betrokken feiten niet als ernstig delict konden worden aangemerkt.

22.

Het Ministerio Fiscal (Spaans openbaar ministerie), enige partij in de procedure, heeft tegen deze beschikking hoger beroep ingesteld bij de Audiencia Provincial de Tarragona (provinciaal gerecht Tarragona, Spanje). Volgens het Ministerio Fiscal had, gelet op de aard van de feiten en gezien een beslissing van de Tribunal Supremo (hoogste rechterlijke instantie, Spanje) in een vergelijkbare zaak16., toestemming moeten worden gegeven voor het verstrekken van de gevraagde gegevens.

23.

Bij beschikking van 9 februari 2016 heeft de Audiencia Provincial de Tarragona bij wijze van voorlopige maatregel de telefonieaanbieders gelast de bewaartermijn van de gegevens waarop het verzoek betrekking had te verlengen.

24.

Uit de verwijzingsbeslissing van deze rechterlijke instantie blijkt dat, na de vaststelling van de bestreden beschikking, de Spaanse wetgever bij organieke wet 13/201517. een dubbel criterium heeft ingevoerd om de ernst van een delict te bepalen. Het eerste criterium is een materiële maatstaf die verband houdt met strafbaar gestelde gedragingen die specifiek en ernstig van aard zijn en individuele en collectieve rechtsgoederen in bijzondere mate aantasten.18. Het tweede is een formeel-normatief criterium dat uitsluitend is gebaseerd op de strafmaat voor het betrokken delict. De drempel van drie jaar gevangenisstraf waarin dit laatste criterium voorziet, zou echter verreweg het merendeel van de strafbaar gestelde gedragingen kunnen bestrijken. Volgens de verwijzende rechter kan bovendien het belang dat de staat heeft bij de bescherming van burgers en de bestraffing van strafbare gedragingen geen onevenredige schending van de fundamentele rechten van personen rechtvaardigen.

25.

In deze context heeft de Audiencia Provincial de Tarragona bij beslissing van 6 april 2016, die op 14 april 2016 bij het Hof is ingekomen, de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

‘1)

Geldt als criterium om te bepalen of een delict voldoende ernstig is om inmenging in de door de artikelen 7 en 8 van het Handvest erkende grondrechten te rechtvaardigen, uitsluitend de straf die kan worden opgelegd ter zake van het onderzochte delict of is het bovendien noodzakelijk dat door de strafbaar gestelde gedraging individuele en/of collectieve rechtsgoederen in bijzondere mate worden aangetast?

2)

Indien het verenigbaar is met de constitutionele beginselen van de Unie die het Hof heeft toegepast in zijn arrest [Digital Rights] als maatstaven voor de strikte toetsing van de richtlijn [die bij dit arrest ongeldig is verklaard], dat de ernst van het delict uitsluitend wordt vastgesteld op basis van de op te leggen straf, wat zou dan het minimumniveau van de straf moeten zijn? Zou een algemeen vereiste van minimaal drie jaar gevangenisstraf voldoen?’

26.

In afwachting van de uitspraak van het Hof in de gevoegde zaken Tele2 Sverige en Watson e.a., C-203/15 en C-698/15, is de procedure bij het Hof geschorst bij beslissing van de president van 23 mei 2016.

27.

Nadat het Hof op 21 december 2016 het arrest in deze zaken heeft gewezen19., heeft de verwijzende rechter in antwoord op vragen van het Hof aangegeven het verzoek om een prejudiciële beslissing te willen handhaven. Deze rechter heeft te kennen gegeven dat de door hem voorgelegde prejudiciële vragen nog steeds relevant waren, voor zover in het genoemde arrest weliswaar voorbeelden werden gegeven van ‘ernstige criminaliteit’20., maar de materiële inhoud van dit begrip, dat als beoordelingscriterium voor de rechtvaardiging van inmenging kan worden gehanteerd, hierin onvoldoende duidelijk werd gedefinieerd. Dit begrip brengt namelijk het risico met zich mee dat op nationaal niveau zeer ruime voorwaarden aan de bewaring van en toegang tot gegevens worden gesteld, hetgeen de in het arrest Tele2 bedoelde fundamentele rechten niet zou eerbiedigen. Zo heeft de Spaanse wetgever bij organieke wet 13/2015, in weerwil van de in het arrest Digital Rights genoemde criteria21., de drempel waarboven een delict voldoende ernstig is om de bewaring en de verstrekking van persoonsgegevens toe te staan, aanzienlijk verlaagd ten opzichte van de vroegere bepalingen van wet 25/2007.

28.

Na dit antwoord is op 16 februari 2017 de procedure bij het Hof hervat. Vervolgens hebben de Spaanse, Tsjechische, Estse, Ierse, Franse, Letse, Hongaarse en Oostenrijkse regering, en de regering van het Verenigd Koninkrijk alsmede de Europese Commissie schriftelijke opmerkingen ingediend.

29.

Met het oog op de mondelinge behandeling van de zaak heeft het Hof schriftelijke vragen gesteld aan de Spaanse regering, die deze vragen op 9 januari 2018 heeft beantwoord. Voorts heeft het Hof mondeling te beantwoorden vragen gesteld aan alle belanghebbenden als bedoeld in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie.

30.

Ter terechtzitting van 29 januari 2018 hebben het Spaanse openbaar ministerie, de Spaanse, Tsjechische, Deense, Estse, Ierse, Franse, Letse en Poolse regering, en de regering van het Verenigd Koninkrijk alsmede de Commissie pleidooi gehouden.

IV. Analyse

A. Inleidende opmerkingen

31.

Alvorens dieper in te gaan op de vragen die in het onderhavige verzoek om een prejudiciële beslissing zijn gesteld, acht ik het noodzakelijk enkele opmerkingen te maken over het specifieke voorwerp van dit verzoek.

32.

Ten eerste moet, gelet op de aanwijzingen in de verwijzingsbeslissing en de aanvullende informatie die is verstrekt door de Spaanse regering, worden gewezen op de specifieke kenmerken van het hoofdgeding, die het met name onderscheiden van de omstandigheden van de zaken die hebben geleid tot de arresten Digital Rights en Tele2.22.

33.

Het betrokken verzoek van de politieautoriteit blijkt immers te strekken tot het verkrijgen van uitsluitend de gegevens voor identificatie van de houders of gebruikers van de telefoonnummers behorend bij de SIM-kaarten die in de gestolen mobiele telefoon zijn gebruikt.23. Voorts staat vast dat dit verzoek een beperkte, duidelijk afgebakende tijdspanne betreft, te weten een periode van ongeveer twaalf dagen.24.

34.

In deze omstandigheden is het aantal personen dat door de bestreden maatregel kan worden getroffen niet ongelimiteerd, maar beperkt. Bovendien gaat het hier niet om iedere willekeurige SIM-kaarthouder, maar om personen met een zeer specifiek profiel, namelijk die SIM-kaarthouders die de gestolen telefoon na de diefstal hebben gebruikt of zelfs nog in bezit hebben en dus terecht ervan kunnen worden verdacht dat zij ofwel de daders van het delict zijn ofwel in relatie tot de daders staan.

35.

Daarbij komt nog dat niet alle typen ‘persoonsgegevens’25. worden beoogd die in het bezit zijn van de aanbieders van elektronische-communicatiediensten, maar uitsluitend die gegevens die betrekking hebben op de civiele identiteit van de betrokken personen, te weten hun voornaam, achternaam en eventueel hun adres26., welke gegevens ook de ‘contactgegevens’ kunnen worden genoemd. De overige gegevens van deze personen die zich in de bestanden van de betrokken aanbieders zouden kunnen bevinden27., zijn mijns inziens van het hoofdgeding uitgesloten.

36.

Overigens ben ik van mening dat het doel hier niet het inwinnen van locatiegegevens of van gegevens betreffende de communicatie als zodanig28. is, maar de verzameling van gegevens die betrekking hebben op natuurlijke personen die worden gezocht omdat zij mogelijk een elektronische-communicatiedienst hebben gebruikt met behulp van de gestolen telefoon, zelfs als zij geen daadwerkelijke telefonische oproep hebben gedaan. Uit de toelichtingen die het Spaanse openbaar ministerie aan het Hof heeft verstrekt, blijkt immers dat de opgevraagde persoonsgegevens, die kunnen worden achterhaald door een bepaalde SIM-kaart met het IMEI-nummer van het gestolen apparaat te combineren, technisch kunnen worden verkregen dankzij het enkele feit dat het apparaat verbinding heeft gemaakt met een mast voor mobiele telefonie, ook als de houder van de kaart geen oproep heeft gedaan met de betrokken telefoon, dus onafhankelijk van daadwerkelijke communicatie.29. Het is aan de verwijzende rechter om deze bewering van feitelijke aard te verifiëren, hoewel zij mij voldoende plausibel lijkt om redelijkerwijs als waar te kunnen worden beschouwd.

37.

Gelet op een en ander wil ik van meet af aan benadrukken dat het verzoek dat in het hoofdgeding aan de orde is, niet de algemene en ongedifferentieerde overdracht van persoonsgegevens betreft, maar een gerichte overdracht van persoonsgegevens van bepaalde personen over een afgebakende tijdspanne. Bovendien lijken de opgevraagde gegevens op het eerste gezicht geen bijzonder gevoelige gegevens te zijn, hoewel met de toegang tot gegevens van dit type de in de artikelen 7 en 8 van het Handvest neergelegde fundamentele rechten kunnen worden geschonden.30.

38.

Ten tweede merk ik op dat uit de motivering van de verwijzingsbeslissing blijkt dat de prejudiciële vragen die in de onderhavige zaak zijn gesteld geen betrekking hebben op de voorwaarden voor de bewaring van persoonsgegevens in de sector elektronische communicatie, maar veeleer op de wijzen van toegang van de nationale autoriteiten tot dergelijke gegevens die worden bewaard door aanbieders van diensten die in deze sector actief zijn.31.

39.

De verwijzende rechter wijst er met name op dat krachtens artikel 588 ter, onder j), van het wetboek van strafvordering de toestemming van een rechter is vereist voor de overdracht van door de dienstenaanbieder bewaarde elektronische gegevens aan de bevoegde autoriteiten ten behoeve van een procedure. In lid 1 van dit artikel is bepaald dat deze gegevens ‘ofwel uit hoofde van de toepasselijke wetgeving dan wel eigener beweging om commerciële of andere redenen’ door aanbieders kunnen worden bewaard.

40.

In casu blijkt dat de door de politieautoriteiten ten behoeve van het onderzoek opgevraagde persoonsgegevens door de aanbieders van de mobiele-telefoniediensten konden worden bewaard uit hoofde van een verplichting krachtens de Spaanse wet.32. De verwijzende rechter geeft dienaangaande geen aanwijzingen, maar, zoals ik reeds heb opgemerkt, betreft diens verzoek om een prejudiciële beslissing de eventuele toegang tot reeds bewaarde gegevens en wordt er in het hoofdgeding niet aan getwijfeld dat de bewaring van de gegevens in overeenstemming is met het Unierecht.33. Er moet mijns inziens dan ook van worden uitgegaan dat de betrokken gegevens in het hoofdgeding overeenkomstig de nationale wettelijke regeling, met inachtneming van de in artikel 15, lid 1, van richtlijn 2002/58 gestelde voorwaarden, zijn bewaard, hetgeen uitsluitend door de verwijzende rechter moet worden geverifieerd.34.

41.

Verderop in deze conclusie zal ik terugkomen op de rechtsgevolgen van deze inleidende constateringen.35.

B. Procedurele excepties opgeworpen door de spaanse regering

42.

De Spaanse regering heeft twee categorieën procedurele excepties opgeworpen, die respectievelijk de bevoegdheid van het Hof en de ontvankelijkheid van het verzoek om een prejudiciële beslissing betreffen, en waarop het Hof uitspraak moet doen alvorens in voorkomend geval uitspraak ten gronde te kunnen doen.

1. Bevoegdheid van het hof gerelateerd aan de werkingssfeer van het Unierecht
43.

Om te beginnen breng ik in herinnering dat de in de rechtsorde van de Unie gewaarborgde grondrechten, en met name de in de artikelen 7 en 8 van het Handvest verankerde fundamentele rechten, volgens vaste rechtspraak uitsluitend toepassing kunnen vinden in alle situaties die door het Unierecht worden beheerst.36. Bovendien zijn ingevolge artikel 51, lid 1, van het Handvest de bepalingen ervan tot de lidstaten gericht ‘uitsluitend wanneer deze het Unierecht ten uitvoer brengen’, in de zin van de rechtspraak van het Hof inzake dit begrip.37. Dientengevolge is het Hof, wanneer een juridische situatie niet binnen de werkingssfeer van het Unierecht valt, niet bevoegd om daarover uitspraak te doen en kunnen de eventueel aangevoerde bepalingen van het Handvest op zich niet de grondslag vormen voor die bevoegdheid.38.

44.

In casu hebben de vragen van de verwijzende rechter uitsluitend betrekking op de artikelen 7 en 8 van het Handvest en op de ‘constitutionele beginselen van de Unie die het Hof heeft toegepast in zijn arrest [Digital Rights]’. Desalniettemin vormen volgens deze rechter de toepasselijke richtlijnen inzake de bescherming van persoonsgegevens, zoals richtlijn 95/46 en richtlijn 2002/58, het krachtens artikel 51, lid 1, van het Handvest vereiste aanknopingspunt tussen het hoofdgeding en het Unierecht.

45.

Dienaangaande merk ik in de eerste plaats op dat de Spaanse regering primair aanvoert dat het Hof niet bevoegd is om uitspraak te doen op de onderhavige prejudiciële verwijzing, aangezien deze verwijzing geen betrekking heeft op de toepassing van het Unierecht. De Spaanse regering stelt met name dat het hoofdgeding van de werkingssfeer van het Unierecht is uitgesloten, omdat het betrekking heeft op een aan een gerechtelijke beslissing onderworpen toegang van de politie tot gegevens in het kader van een onderzoek, wat moet worden beschouwd als een activiteit van de staat op strafrechtelijk gebied39., die als zodanig onder de uitzonderingen valt die zijn bepaald in artikel 1, lid 3, van richtlijn 2002/58 en in artikel 3, lid 2, eerste streepje, van richtlijn 95/46.40. De regering van het Verenigd Koninkrijk heeft ter terechtzitting te kennen gegeven deze zienswijze van de Spaanse regering te delen.

46.

Mijns inziens is richtlijn 2002/58 echter wel van toepassing op nationale maatregelen als de maatregelen die aan de orde zijn in het hoofdgeding. In het arrest Tele2 heeft het Hof immers reeds geoordeeld dat nationale wettelijke maatregelen, zoals die betreffende de bewaring van gegevens ter bestrijding van criminaliteit, binnen de werkingssfeer van die richtlijn vallen, voor zover ze niet alleen de verplichtingen bepalen die dienaangaande op de aanbieders van elektronische-communicatiediensten rusten, maar ook de toegang van de nationale autoriteiten tot de in dit verband bewaarde gegevens regelen.41. Net als de Commissie ben ik van mening dat de overwegingen in dat arrest ook gelden voor de nationale regels die in casu van toepassing zijn, te weten de bepalingen van wet 25/2007, gelezen in samenhang met het Spaanse wetboek van strafvordering, zoals gewijzigd bij organieke wet 13/201542., en dat deze overwegingen dus ook kunnen worden toegepast ten aanzien van het voorwerp van het hoofdgeding.

47.

Ik voeg hieraan toe dat onderscheid moet worden gemaakt tussen enerzijds de persoonsgegevens die rechtstreeks in het kader van de — klassieke43. — activiteiten van de staat op strafrechtelijk gebied44. worden verwerkt en anderzijds die gegevens die in het kader van de — commerciële — activiteiten van een aanbieder van elektronische-communicatiediensten worden verwerkt en vervolgens door de bevoegde overheidsdiensten worden gebruikt.45. Overigens merk ik op dat een onlangs bij het Hof ingediend verzoek om een prejudiciële beslissing met name de uitlegging betreft van artikel 1, lid 3, van richtlijn 2002/58 in de context van het gebruik, door de veiligheids- en inlichtingendiensten van een lidstaat, van gegevens die op grote schaal aan deze diensten moeten worden overgedragen door aanbieders van elektronische-communicatiediensten46., welke problematiek mijns inziens in de onderhavige zaak niet aan de orde is.47.

48.

In de tweede plaats constateer ik dat gelet op het type gegevensdat in hethoofdgedingaan de orde is, nog andere vragen zijn gerezen in verband met de werkingssfeer van richtlijn 2002/58, waarvan in de onderhavige zaak de bevoegdheid van het Hof afhankelijk is.

49.

Zoals ik reeds heb aangegeven48., blijkt uit de elementen van het dossier dat met het omstreden verzoek om toegang wordt beoogd gegevens te verkrijgen over de identiteit van de houders of gebruikers van de telefoonnummers die behoren bij de SIM-kaarten die met de gestolen telefoon zijn geactiveerd, teneinde de personen te traceren die dit apparaat in bezit hebben gehad, en dat niet om informatie is verzocht over eventuele telefoongesprekken die met het gestolen apparaat zijn gevoerd.

50.

Met andere woorden, ook al had gelet op de Spaanse regelgeving49. een groter bereik persoonsgegevens kunnen worden beoogd, het verzoek in het hoofdgeding ziet enkel op gegevens betreffende de identiteit van de ‘gebruikers’ in de zin van artikel 2, tweede alinea, onder a), van richtlijn 2002/58, en niet op willekeurige ‘locatiegegevens’50. in de zin van artikel 2, tweede alinea, onder c), noch op gegevens betreffende de ‘communicatie’ als zodanig, in de zin van ditzelfde artikel 2, tweede alinea, onder d).51.

51.

Volgens het Spaanse openbaar ministerie, de Spaanse, Deense, Ierse en Letse regering en de regering van het Verenigd Koninkrijk alsmede de Commissie vallen de hier in het geding zijnde gegevens, voor zover op zichzelf beschouwd, dat wil zeggen onafhankelijk van daadwerkelijke communicatie in voorkomend geval, in beginsel evenmin onder het begrip ‘verkeersgegevens’, dat in artikel 2, tweede alinea, onder b), van richtlijn 2002/58 is gedefinieerd als alle ‘gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan’.52.

52.

De identificatiegegevens die in casu door de politieautoriteiten zijn opgevraagd, lijken inderdaad geen betrekking te hebben op het ‘verkeer’ van communicatie als zodanig, voor zover blijkt dat deze gegevens ook kunnen worden verkregen wanneer geen enkele telefonische oproep met het gestolen apparaat is gedaan, en dus zelfs wanneer over de betrokken tijdspanne geen communicatie tussen personen heeft plaatsgevonden via de mobiele-telefonieaanbieder.53.

53.

Desalniettemin ben ik van mening dat een geding als het hoofdgeding binnen de werkingssfeer van richtlijn 2002/58 valt, aangezien de verwerking van de in casu opgevraagde gegevens die behoren bij de SIM-kaarten en de houders ervan, uit commercieel oogpunt noodzakelijk is voor het aanbieden van de elektronische-communicatiediensten54., in ieder geval voor het factureren van de verrichte diensten55., ongeacht de oproepen die al dan niet in het kader van deze dienstverrichting zijn gedaan.

54.

Gelet op artikel 1, lid 1, en artikel 3 van richtlijn 2002/5856. deel ik namelijk het standpunt dat met name de Commissie heeft verwoord, namelijk dat deze richtlijn in algemene zin van toepassing is op de verwerking van persoonsgegevens in het kader van elektronische-communicatiediensten, wat betekent dat niet alleen de gegevens van een specifieke communicatie, maar ook de gegevens betreffende de identiteit van de gebruikers van dergelijke diensten, zoals de gegevens in casu, binnen de werkingssfeer van deze richtlijn vallen. Mede gelet op de in deze richtlijn opgenomen beschermingsdoelstellingen, die hoofdzakelijk de eerbiediging van de in het Handvest neergelegde grondrechten beogen57., ben ik dan ook van mening dat het begrip ‘communicatie’ in de zin van dit instrument in ruime zin moet worden opgevat en dat het beginsel van vertrouwelijkheid van de communicatie waarin dit instrument voorziet58., in casu wel degelijk in het geding is.

55.

Deze uitlegging wordt mijns inziens kracht bijgezet door een eerder arrest waarin het Hof heeft geoordeeld dat een geding over de overdracht van de namen en adressen van de gebruikers van een elektronische-communicatiedienst binnen de werkingssfeer van richtlijn 2002/58 viel.59. Ik voeg hieraan toe dat artikel 12 van deze richtlijn, dat betrekking heeft op abonneelijsten, in mijn ogen zeker gegevens van deze aard beoogt60., en dat in overweging 15 van diezelfde richtlijn ook een ruime opvatting van het begrip ‘communicatie’ tot uitdrukking wordt gebracht, met name omdat wordt verwezen naar adresseringsgegevens die ‘door de gebruiker van een verbinding worden verstrekt’.61.

56.

Deze zienswijze strookt bovendien met de rechtspraak van het EHRM op dit gebied62., waarbij ik in herinnering breng dat in de preambule van richtlijn 2002/58 wordt benadrukt dat deze richtlijn het vertrouwelijke karakter van communicatie en het recht van gebruikers op persoonlijke levenssfeer waarborgt overeenkomstig het EVRM, zoals dat is uitgelegd door het EHRM63., ook al is dit verdrag niet formeel in de rechtsorde van de Unie opgenomen.64.

57.

Dientengevolge ben ik van mening dat een geding als het hoofdgeding binnen de materiële werkingssfeer van richtlijn 2002/58 valt en dat de door de Spaanse regering opgeworpen exceptie van onbevoegdheid moet worden verworpen.

58.

Volledigheidshalve voeg ik hier niettemin aan toe dat, mocht richtlijn 2002/58 in casu niet van toepassing worden verklaard, de bevoegdheid van het Hof om uitspraak te doen in de onderhavige zaak niet kan worden gebaseerd op richtlijn 95/46, die zowel door de verwijzende rechter als door de Spaanse regering is aangehaald.

59.

Zoals de Commissie heeft aangegeven, is richtlijn 95/46 immers weliswaar het instrument van algemene strekking betreffende de verwerking van persoonsgegevens65., maar de vragen van de verwijzende rechter zouden mijns inziens hun relevantie verliezen als ze uitsluitend vanuit deze invalshoek zouden worden onderzocht, aangezien de vragen betrekking hebben op de drempel waarboven strafbare feiten als ‘ernstige criminaliteit’ kunnen worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, waarin deze richtlijn niet wordt uitgelegd.66.

2. Ontvankelijkheid van het verzoek om een prejudiciële beslissing
60.

De Spaanse regering stelt subsidiair, mocht het Hof zich bevoegd verklaren om de prejudiciële vragen te beantwoorden, dat het verzoek om een prejudiciële beslissing niet-ontvankelijk moet worden verklaard, en wel om twee redenen.

61.

Ten eerste voert de Spaanse regering aan dat de verwijzende rechter het regelgevingskader van de Unie waarover het Hof uitspraak moet doen, niet duidelijk heeft omschreven.

62.

In dit verband brengt de Spaanse regering in herinnering dat het Hof volgens vaste rechtspraak, in het kader van de samenwerking krachtens artikel 267 VWEU, slechts kan weigeren uitspraak te doen op prejudiciële vragen, waarop een vermoeden van relevantie rust, wanneer duidelijk blijkt dat de gevraagde uitlegging of toetsing van de geldigheid van een regel van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen.67.

63.

Ik ben echter van mening dat de grief van de Spaanse regering in casu niet gegrond is. Mijns inziens heeft de verwijzende rechter, gelet op zijn toelichting, immers duidelijk aangegeven welke bepalingen van Unierecht volgens hem relevant zijn. Dienaangaande wijs ik er nogmaals op dat, ten eerste, de prejudiciële vragen in het bijzonder betrekking hebben op de artikelen 7 en 8 van het Handvest en, ten tweede, deze rechter verklaart dat richtlijnen 95/46 en 2002/58 het vereiste aanknopingspunt vormen tussen enerzijds de nationale regelgeving die van toepassing is op het hoofdgeding en anderzijds het Unierecht68., en ten derde, richtlijn 2002/58, zoals blijkt uit overweging 2, met name strekt tot volledige eerbiediging van de in de artikelen 7 en 8 van het Handvest verankerde rechten.69.

64.

Voorts is het niet van belang dat een van de onderdelen van de Spaanse wettelijke regeling die in de verwijzingsbeslissing worden genoemd, te weten wet 25/2007, uitvoering geeft aan richtlijn 2006/24, die is ingetrokken als gevolg van de ongeldigverklaring ervan in het arrest Digital Rights.70. Zoals de verwijzende rechter terecht opmerkt, zou het onjuist zijn om de prejudiciële vragen die in casu aan het Hof zijn voorgelegd vanwege deze ongeldigverklaring als irrelevant te bestempelen. In dit verband kan worden volstaan met de vaststelling dat het voorwerp van deze vragen, te weten de bescherming van persoonsgegevens, tot de bevoegdheden van de Unie behoort en dat het hoofdgeding binnen de werkingssfeer van een rechtshandeling van de Unie valt, namelijk richtlijn 2002/5871., tot wijziging waarvan de ongeldig verklaarde richtlijn 2006/24 was vastgesteld.

65.

Overigens moet worden geconstateerd dat verreweg de meeste partijen die opmerkingen hebben ingediend bij het Hof, zich op het standpunt stellen dat het onderhavige verzoek om een prejudiciële beslissing moet worden onderzocht in het licht van artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, alsook aan de hand van de richtsnoeren die voortvloeien uit de arresten Digital Rights en Tele2. Ik deel dit standpunt, waarbij moet worden gepreciseerd dat uitsluitend in artikel 15, lid 1, van richtlijn 2002/58 de uitdrukking ‘strafbare feiten’ wordt gebruikt in plaats van ‘ernstige criminaliteit’.72.

66.

Ten tweede stelt de Spaanse regering dat artikel 7 van het Handvest, dat de hoeksteen van het onderhavige verzoek om een prejudiciële beslissing zou vormen, niet relevant is omdat de in het hoofdgeding gevraagde onderzoeksmaatregel niet de interceptie van communicatie beoogt en aldus de vertrouwelijkheid van de communicatie niet in gevaar kan brengen, met als gevolg dat de prejudiciële vragen van hypothetische aard zijn.

67.

Mijns inziens is artikel 7 van het Handvest in de onderhavige zaak wel degelijk relevant en is het verzoek om een prejudiciële beslissing dan ook niet hypothetisch. Gelet op het voorwerp van de maatregel die in het hoofdgeding aan de orde is73., is in casu weliswaar geen sprake van een risico van schending van het communicatiegeheim, maar dit neemt niet weg dat een dergelijke maatregel wel degelijk inbreuk kan maken op het recht op eerbiediging van het privéleven dat in bovengenoemd artikel wordt gewaarborgd, ook al is de inbreuk in mijn ogen van geringe omvang.74.

68.

Volgens vaste rechtspraak van het Hof vormt de verstrekking van persoonsgegevens aan derden, zoals aan een overheidsdienst, immers een inmenging in het in artikel 7 van het Handvest verankerde grondrecht, ongeacht het latere gebruik van de aldus verstrekte gegevens. Hetzelfde geldt voor de bewaring van persoonsgegevens, met name door aanbieders van elektronische-communicatiediensten, alsook voor de toegang tot die gegevens met het oog op gebruik ervan door de overheidsinstanties.75.

69.

Ik ben dan ook van mening dat de exceptie van niet-ontvankelijkheid die door de Spaanse regering is opgeworpen, moet worden verworpen en dat ten gronde uitspraak moet worden gedaan op het verzoek om een prejudiciële beslissing.

C. Elementen die in aanmerking moeten worden genomen bij de bepaling of een strafbaar feit voldoende ernstig is om inmenging in de betrokken grondrechten te rechtvaardigen (eerste vraag)

70.

Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen met welke elementen rekening moet worden gehouden teneinde te bepalen of strafbare feiten voldoende ernstig zijn om in het kader van het bewaren van en de toegang tot persoonsgegevens inmenging in de grondrechten van de artikelen 7 en 8 van het Handvest te rechtvaardigen overeenkomstig de rechtspraak die voortvloeit uit het arrest Digital Rights en vervolgens uit het arrest Tele2.

71.

In dit verband breng ik in herinnering dat het Hof in het arrest Digital Rights het begrip ‘ernstige criminaliteit’76., soms afgewisseld met het begrip ‘zware criminaliteit’77., heeft gebruikt als criterium ter beoordeling van het doel en de evenredigheid van de inmenging in de bedoelde grondrechten die werd veroorzaakt door Unierechtelijke bepalingen betreffende persoonsgegevens, te weten de bepalingen van richtlijn 2006/24. Ik wijs erop dat deze begrippen, die niet voorkomen in richtlijn 2002/5878., werden gebruikt in richtlijn 2006/2479., die bij dat arrest ongeldig is verklaard. Het Hof heeft deze twee begrippen vervolgens als zelfde beoordelingscriterium gebruikt in het arrest Tele280., zij het in dit geval aangaande de verenigbaarheid met het Unierecht81. van door de lidstaten vastgestelde maatregelen.

72.

Meer in het bijzonder wordt het Hof met de eerste prejudiciële vraag verzocht vast te stellen of, teneinde te beoordelen of sprake is van ‘ernstige criminaliteit’ die inmenging in de door artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten aangaande persoonsgegevens kan rechtvaardigen, uitsluitend de straf die op het betrokken strafbare feit is gesteld in beschouwing moet worden genomen of, bovendien, de bijzondere ernst van de strafbaar gestelde gedraging ten aanzien van de individuele en/of collectieve rechtsgoederen die in het geding zijn.

73.

Evenals de Commissie ben ik echter van mening dat, voordat deze vraag kan worden beantwoord, moet worden onderzocht of de inmenging die in een geding als het hoofdgeding aan de orde is, wel dermate ernstig is dat zij krachtens het Unierecht moet worden gerechtvaardigd uit ho de bestrijding van ernstige criminaliteit, wil er sprake zijn van een toelaatbare inmenging. Indien dit niet het geval is, zou het Hof de relevante bepalingen van Unierecht mijns inziens immers niet in het licht van het door de verwijzende rechter verwoorde verzoek moeten uitleggen, maar na herformulering van de eerste vraag82. tegen de achtergrond van de omstandigheden van het hoofdgeding.83.

1. Inaanmerkingneming van de niet-ernstige aard van de omstreden inmenging
74.

Allereerst moet worden vastgesteld of de handelingen waarover het gaat in het hoofdgeding, wel inbreuk kunnen maken op de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten, en aldus inmenging in deze rechten kunnen vormen in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2.

75.

Zoals de Spaanse en de Deense regering in hun pleidooi hebben aangevoerd84. en zoals ik reeds heb opgemerkt85., lijken de gegevens waartoe de met het strafrechtelijk onderzoek belaste autoriteiten om toegang verzoeken, weliswaar minder gevoelig te zijn dan bepaalde andere categorieën persoonsgegevens86., gelet op het feit dat het onderzoek in de onderhavige zaak uitsluitend betrekking blijkt te hebben op de voornaam, achternaam en eventueel het adres van de bij het onderzoek betrokken personen, zijnde de gebruikers van de telefoonnummers die zijn geactiveerd met de gestolen telefoon die het voorwerp is van dit onderzoek.

76.

Ik ben echter van mening dat het voor de vaststelling of persoonsgegevens onder de bescherming moeten vallen waarin het Unierecht, en met name richtlijn 2002/5887., voorziet, niet relevant is of de gegevens die met het verzoek tot bewaring of verstrekking worden beoogd, al dan niet bijzonder gevoelige gegevens zijn. Zoals is gebleken uit de eerste wetgevingshandelingen op dit gebied, kan immers ‘[n]aargelang van het doel waarvoor het wordt gebruikt […] elk gegeven dat betrekking heeft op een persoon, hoe onschuldig het op het eerste gezicht ook lijkt, een gevoelig karakter hebben (bijvoorbeeld een eenvoudig postadres)’.88. Bovendien heeft het Hof reeds geoordeeld dat voor de vaststelling of sprake is van inmenging in het in artikel 7 van het Handvest neergelegde grondrecht ‘het van weinig belang [is] of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden’.89.

77.

Voorts zij eraan herinnerd dat de verstrekking van persoonsgegevens aan derden, zelfs aan overheidsdiensten zoals een gerechtelijke politiedienst, inmenging in het in artikel 7 van het Handvest gewaarborgde fundamentele recht vormt90., ook als deze gegevens worden overgedragen met het oog op een strafrechtelijk onderzoek, welke situatie overigens uitdrukkelijk wordt genoemd in artikel 15, lid 1, van richtlijn 2002/58.91. Ik voeg hieraan toe dat een dergelijke handeling ook inmenging kan vormen in het door artikel 8 van het Handvest gewaarborgde fundamentele recht op bescherming van persoonsgegevens, aangezien zij leidt tot de verwerking van persoonsgegevens.92.

78.

Mijns inziens moet dan ook worden vastgesteld dat een maatregel als die in het hoofdgeding inmenging vormt in de fundamentele rechten die worden gewaarborgd in de artikelen 7 en 8 van het Handvest.

79.

Desalniettemin ben ik van mening dat in de omstandigheden van de onderhavige zaak eenessentieel element ontbreekt dat naar het oordeel van het Hof vereist is in het stadium van de rechtvaardiging van een dergelijke inmenging, namelijk dat er sprake is van ‘ernstige criminaliteit’ — het begrip waarvan de verwijzende rechter om een definitie verzoekt —, teneinde te kunnen afwijken van het beginsel van de vertrouwelijkheid van de elektronische communicatie. Het element dat volgens mij in casu ontbreekt, en dat nodig is om de eerste prejudiciële vraag in de bewoordingen van de verwijzende rechter te kunnen beantwoorden, is de ernst van de omstreden inmenging, welke factor, indien deze aanwezig zou zijn, de noodzaak van een strengere rechtvaardiging zou meebrengen.

80.

In dit verband merk ik op dat het Hof in het arrest Digital Rights de aandacht heeft gevestigd op de bijzondere omvang en ernst van de inmenging die door de betrokken regeling werd veroorzaakt, met name door vast te stellen dat ‘richtlijn 2006/24 algemeen van toepassing is op alle personen, alle elektronische-communicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel, zware criminaliteit te bestrijden’.93.

81.

Op eenzelfde wijze heeft het Hof in het arrest Tele2 voor recht verklaard dat artikel 15, lid 1, van richtlijn 2002/58 ‘zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronische-communicatiemiddelen’.94. In dat arrest is ook een onderling verband gelegd tussen enerzijds de geconstateerde bijzondere ‘ernst van de inmenging’ en anderzijds de noodzaak om schending van een dergelijke omvang van de in de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten te rechtvaardigen op grond van een dermate essentiële reden van algemeen belang als de ‘bestrijding van ernstige criminaliteit’.95.

82.

Dit verband tussen de geconstateerde ernst van de inmenging en het wezenlijke belang van de rechtvaardigingsgrond voor deze inmenging is met eerbiediging van het evenredigheidsbeginsel gelegd.96. Bovendien heeft het EHRM in zijn rechtspraak met betrekking tot artikel 8 EVRM97. mijns inziens eenzelfde onderling verband gelegd als het verband dat voortvloeit uit de arresten Digital Rights en Tele2.

83.

Zoals ik reeds heb opgemerkt98. en zoals met name de Franse regering, de regering van het Verenigd Koninkrijk alsmede de Commissie hebben benadrukt, onderscheidt de inmenging die in het onderhavige geding aan de orde is zich naar haar aard in meerdere opzichten van de inmenging die het Hof in deze twee eerdere arresten heeft vastgesteld. Daarom moet de verenigbaarheid met het Unierecht van een maatregel als de betrokken maatregel op een andere manier worden onderzocht.

84.

In casu is geen sprake van een maatregel houdende een verplichting tot algemene en ongedifferentieerde bewaring van verkeersgegevens en locatiegegevens van iedere willekeurige abonnee of geregistreerde gebruiker, die betrekking zou hebben op alle elektronische-communicatiemiddelen. Het betreft hier een gerichte maatregel die de bevoegde autoriteiten de mogelijkheid biedt om, met het oog op een strafrechtelijk onderzoek, toegang te krijgen tot door dienstenaanbieders voor commerciële doeleinden bewaarde gegevens, en die uitsluitend betrekking heeft op de identiteit (naam, voornaam en eventueel adres) van een afgebakende categorie abonnees of gebruikers van een specifiek communicatiemiddel, te weten die personen van wie het telefoonnummer is geactiveerd met de gestolen mobiele telefoon die het voorwerp is van het onderzoek, en dat over een afgebakende tijdspanne van ongeveer twaalf dagen.99.

85.

Ik voeg hieraan toe dat de mogelijk nadelige gevolgen voor de personen die met het betrokken toegangsverzoek worden beoogd, gering zijn en binnen bepaalde perken blijven. De opgevraagde gegevens zijn immers bestemd voor gebruik in het bijzondere kader van een onderzoeksmaatregel en niet voor openbare verspreiding.100. Bovendien gaat op grond van de Spaanse wet de aan de politieautoriteiten geboden toegangsmogelijkheid gepaard met procedurele waarborgen, aangezien die mogelijkheid is onderworpen aan rechterlijke toetsing, die in het hoofdgeding overigens heeft geleid tot afwijzing van het verzoek van de politie.

86.

In mijn ogen is de inmenging in de bovengenoemde fundamentele rechten als gevolg van de verstrekking van de civiele-identiteitsgegevens niet bijzonder ernstig101., aangezien deze gegevens, gelet op de aard en de geringe omvang ervan, op zichzelf niet volstaan om uitgebreide en/of specifieke informatie te verkrijgen over de betrokken personen102., en aldus niet direct en ernstig ingrijpen in de persoonlijke levenssfeer van deze personen in deze bijzondere omstandigheden.103.

87.

Dientengevolge ben ik evenals de Commissie van mening dat, teneinde de verwijzende rechter de relevante aanwijzingen te verstrekken voor de beslechting van het bij hem aanhangige geding, de eerste prejudiciële vraag moet worden geherformuleerd, zodat het antwoord van het Hof betrekking zal hebben op de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 tegen de achtergrond van omstandigheden als in casu, namelijk wanneer sprake is van een inmenging in de bovengenoemde fundamentele rechten die niet bijzonder ernstig is en die gebaseerd is op de bestrijding van een type strafbaar feit aan de ernst waarvan wordt getwijfeld.

88.

In dit verband moet in herinnering worden gebracht dat, aangezien de doeleinden die kunnen rechtvaardigen dat met een nationale regeling wordt afgeweken van het beginsel van vertrouwelijkheid van de elektronische communicatie, uitputtend zijn opgesomd in artikel 15, lid 1, van richtlijn 2002/58, de toegang tot de bewaarde gegevens daadwerkelijk en strikt aan een van de genoemde doeleinden moet tegemoetkomen.104. Een van deze doeleinden is het ‘voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten105., zonder nadere beschrijving van de aard van deze feiten.

89.

Uit de gebruikte terminologie blijkt niet dat de strafbare feiten die de betrokken beperkende maatregel krachtens artikel 15, lid 1, van richtlijn 2002/58 rechtvaardigen, als ‘ernstige criminaliteit’ moeten kunnen worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2. In mijn ogen moeten de strafbare feiten die een dergelijke inmenging kunnen rechtvaardigen, alleen dan bijzonder ernstig van aard zijn wanneer ook de betrokken inmenging bijzonder ernstig van aard is, zoals in de zaken die tot de genoemde arresten hebben geleid. Indien echter sprake is van een niet-ernstige inmenging, geldt het basisbeginsel dat voortvloeit uit de bewoordingen van deze bepaling, namelijk dat ieder type ‘strafbaar feit’ een dergelijke inmenging kan rechtvaardigen.

90.

Mijns inziens moet ervoor worden gewaakt dat de vereisten die het Hof in deze twee arresten heeft vastgesteld, te ruim worden opgevat teneinde de mogelijkheid die de lidstaten krachtens artikel 15, lid 1, van richtlijn 2002/58 hebben om af te wijken van de bij deze richtlijn ingestelde regeling voor gevallen waarin de inmenging in de persoonlijke levenssfeer een legitiem doel dient en tegelijkertijd een geringe reikwijdte heeft, zoals de inmenging die in casu het gevolg kan zijn van het verzoek van de gerechtelijke politie, niet of althans niet buitensporig te beperken. Concreet betekent dit naar mijn mening dat het Unierecht zich niet ertegen verzet dat de bevoegde autoriteiten toegang kunnen hebben tot de identificatiegegevens die in het bezit zijn van aanbieders van elektronische-communicatiediensten, waarmee de vermeende daders van een niet-ernstig strafbaar feit kunnen worden opgespoord.

91.

Gelet op een en ander stel ik het Hof voor op de geherformuleerde prejudiciële vraag te antwoorden dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat een maatregel die de bevoegde nationale autoriteiten, ter bestrijding van strafbare feiten, toegang geeft tot de identificatiegegevens van de gebruikers van de telefoonnummers die zijn geactiveerd met een specifieke telefoon over een afgebakende tijdspanne, in omstandigheden als in het hoofdgeding, een inmenging vormt in de fundamentele rechten die in deze richtlijn en in het Handvest worden gewaarborgd, die niet dermate ernstig is dat deze toegang moet worden beperkt tot gevallen waarin het betrokken strafbare feit ernstig is.

92.

Het aldus voorgestelde antwoord in aanmerking genomen, worden de hiernavolgende constateringen louter subsidiair uiteengezet, omwille van de volledigheid.

2. Eventuele vaststelling van de relevante criteria op basis waarvan kan worden bepaald of een strafbaar feit voldoende ernstig is
93.

Ingeval het Hof, in weerwil van mijn voorstel, zou oordelen dat in casu, ondanks de zeer specifieke omstandigheden van het hoofdgeding, moet worden uitgemaakt wat dient te worden verstaan onder ‘ernstige criminaliteit’ in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2106., zou ten eerste nog moeten worden onderzocht of deze kwalificatie een autonoom begrip van Unierecht is, dat bijgevolg door het Hof zou moeten worden gedefinieerd. In lijn met het antwoord dat de Franse regering primair in overweging geeft, ben ik hiervan om de volgende redenen niet overtuigd.

94.

Allereerst stel ik vast dat richtlijn 2006/24, waaruit het begrip ‘strafbaar feit’ afkomstig is107., dit begrip niet definieerde maar voor een definitie naar de rechtsorden van de lidstaten verwees.108. Ik voeg hieraan toe dat de relevante overwegingen in de arresten Digital Rights en Tele2 mijns inziens niet aldus moeten worden opgevat dat zij strekken tot harmonisatie van de in de lidstaten geldende rechtsregels die betrekking hebben op de inhoud van dit begrip.

95.

In dit verband breng ik in herinnering dat het strafrecht en het strafprocesrecht tot de bevoegdheden van de lidstaten behoren, ook al kan de rechtsorde van de lidstaten worden beïnvloed door bepalingen van Unierecht die op dit gebied zijn vastgesteld.109. Ingevolge artikel 83, lid 2, VWEU kan de Unie uitsluitend indien harmonisatie van het strafrecht van de lidstaten nodig blijkt voor een doeltreffende uitvoering van beleid van de Unie op een gebied waarop harmonisatiemaatregelen zijn vastgesteld, bij richtlijnen minimumvoorschriften vaststellen voor de definitie van strafbare feiten en sancties op het betrokken gebied. Bij de huidige stand van het Unierecht bestaat er echter geen bepaling van algemene strekking die een geharmoniseerde definitie van het begrip ‘strafbaar feit’ geeft.110.

96.

De bevoegdheid om te bepalen wat ‘ernstige criminaliteit’ is, ligt mijns inziens in beginsel bij de bevoegde autoriteiten van de lidstaten. Het is echter de taak van het Hof om, via de prejudiciële verwijzingen die de rechterlijke instanties van de lidstaten bij het Hof aanhangig kunnen maken, de eerbiediging te verzekeren van alle vereisten die uit het Unierecht voortvloeien, en met name toe te zien op een eenvormige toepassing van de bescherming waarin de bepalingen van het Handvest voorzien.

97.

Ik merk op dat de juridische kwalificatie die hier aan de orde is, niet alleen van lidstaat tot lidstaat kan verschillen, naargelang de in iedere lidstaat gevolgde tradities en gestelde prioriteiten, maar ook tijdsgebonden is en kan veranderen als gevolg van een strengere of juist minder strenge koers van het strafrechtbeleid teneinde op nationaal niveau rekening te houden met de ontwikkeling van de criminaliteit111., alsook, in meer algemene zin, met de veranderingen van de maatschappij en van de bestaande behoeften, met name op het vlak van repressie, op nationaal niveau.

98.

Ook al ben ik mij bewust van de grote verschillen tussen de strafmaten die vanouds in de verschillende lidstaten gelden112., ik wil bovendien benadrukken dat de ernst van een strafbaar feit niet uitsluitend afhangt van de zwaarte van de bijbehorende straf. Het antwoord op de vraag of een strafbaar feit ernstig is, is zeer relatief, voor zover dit wordt gebaseerd op de strafmaten die over het algemeen in de betrokken lidstaat gelden. Zo zegt het feit dat een lidstaat op een bepaald strafbaar feit een korte gevangenisstraf of zelfs een alternatieve straf stelt, niets over de intrinsieke ernst van het type strafbaar feit.113.

99.

Ik ben van mening dat de bijzonderheden van het strafrechtstelsel van iedere lidstaat moeten worden gerespecteerd, voor zover het Unierecht de lidstaten geen verplichtingen oplegt die strikt verbindend voor hen zijn, naar analogie van het oordeel van het Hof inzake de bescherming van de ‘openbare veiligheid’114., welk begrip mijns inziens op voet van gelijkheid kan worden gesteld met het begrip ‘bestrijding van criminaliteit’, met name gelet op de bewoordingen van artikel 15, lid 1, eerste zin, van richtlijn 2002/58.

100.

Subsidiair ben ik dan ook van mening dat het begrip ‘ernstige criminaliteit’ in de zin van de rechtspraak van het Hof die voortvloeit uit de arresten Digital Rights en Tele2, geen autonoom begrip van Unierecht is waarvan de inhoud moet worden gedefinieerd door het Hof, ook al neemt dit niet weg dat een afwijking krachtens artikel 15, lid 1, van richtlijn 2002/58 door de lidstaten moet worden toegepast met nakoming van de verplichtingen die voortvloeien uit het Unierecht, met name uit de in het Handvest neergelegde fundamentele rechten, en onder toezicht van het Hof.

101.

Aangaande dit laatste aspect merk ik op dat uit de rechtspraak van het Hof in het bijzonder naar voren komt dat dit artikel 15, lid 1, voor zover hierin is bepaald dat de lidstaten de reikwijdte van sommige rechten en verplichtingen waarin deze richtlijn voorziet kunnen beperken, strikt dient te worden uitgelegd en dus niet ertoe kan leiden dat afwijken van deze rechten en principeverplichtingen de regel wordt.115. Het begrip ‘ernstige criminaliteit’ mag dan ook niet buitensporig ruim worden opgevat door de lidstaten.

102.

In de tweede plaats, en uiterst subsidiair, ingeval het Hof van oordeel zou zijn dat het gaat om een autonoom begrip, het moeten antwoorden op de vraag zoals die door de verwijzende rechter is geformuleerd, en zich bijgevolg moeten uitspreken over de vaststelling van criteria ter beoordeling op Unierechtelijk niveau of een strafbaar feit voldoende ernstig is om inmenging in de fundamentele rechten die zijn neergelegd in de artikelen 7 en 8 van het Handvest te rechtvaardigen.

103.

Meer in het bijzonder zou het Hof moeten bepalen of het volstaat, teneinde het bestaan van ‘ernstige criminaliteit’ in de zin van de aangehaalde rechtspraak vast te stellen, om de voorgeschreven straf voor het vermeende strafbare feit in beschouwing te nemen, of dat, bovendien, de strafbaar gestelde gedraging de in geding zijnde individuele en/of collectieve rechtsgoederen in bijzondere mate moet hebben aangetast. Net als de Deense, Spaanse, Franse, Hongaarse, Oostenrijkse en Poolse regering en de regering van het Verenigd Koninkrijk ben ik dienaangaande van mening dat niet voor het eerste onderdeel van deze keuzemogelijkheid, maar in wezen voor het tweede onderdeel ervan moet worden gekozen, waarbij de voorkeur moet worden gegeven aan een definitie die is gebaseerd op meerdere beoordelingscriteria.116.

104.

Wat betreft de ernst van het strafbare feit die de toegang tot gegevens kan rechtvaardigen, zou het mijns inziens, gelet op het evenredigheidsbeginsel, onmogelijk zijn om de ernst van de ten laste gelegde feiten te bepalen door uitsluitend de mogelijk op te leggen straf in beschouwing te nemen. Gezien de grote verschillen die er nog altijd bestaan tussen de strafrechtstelsels van de lidstaten, ben ik namelijk van mening dat de voorgeschreven straf noch vanuit de kwalitatieve invalshoek van het soort straf, noch vanuit de kwantitatieve invalshoek van de strafmaat de enige maatstaf kan zijn om de bijzondere ernst van een strafbaar feit te beoordelen.

105.

Hoewel de straf van aanzienlijk belang is, moeten bij deze beoordeling ook andere objectieve factoren van geval tot geval in beschouwing worden genomen. Meer in het bijzonder zijn dit, ten eerste, de context waarin het vermeende strafbare feit is gepleegd — dat wil zeggen in hoeverre sprake is van opzet, verzwarende omstandigheden of recidive —, ten tweede de belangrijkheid van de maatschappelijke belangen die door de dader van het strafbare feit mogelijk zijn geschaad, alsook de aard en/of de omvang van de schade die mogelijk aan het slachtoffer van het strafbare feit is toegebracht117. en, tot slot, de hoogte van de algemeen geldende straffen in de betrokken lidstaat.118. Het is mijns inziens op basis van dit geheel van alternatieve, niet-uitputtende beoordelingscriteria dat een strafbaar feit eventueel zou moeten worden gekwalificeerd als ‘ernstige criminaliteit’ in de zin van de betrokken rechtspraak van het Hof.

106.

Ik voeg hieraan toe dat de aldus voorgestelde uitlegging in overeenstemming is met de benadering die het EHRM mijns inziens heeft gekozen in zijn rechtspraak met betrekking tot ‘het voorkomen van strafbare feiten’ als doelstelling die een inmenging in het in artikel 8 EVRM neergelegde recht op privéleven kan rechtvaardigen, mits ook aan andere voorwaarden is voldaan.119. Uit deze rechtspraak blijkt naar mijn oordeel dat de lidstaten die partij zijn bij het EVRM zich in dit kader rechtsgeldig kunnen beroepen op de bestrijding van bepaalde categorieën strafbare feiten120., rekening houdend niet zozeer met uitsluitend de voorgeschreven straf, maar veeleer met diverse beoordelingscriteria, waaronder de aard van de betrokken strafbare feiten en de algemene en individuele belangen die hiermee in gevaar worden gebracht een belangrijke plaats innemen.121.

107.

Dientengevolge ben ik van mening dat, indien het begrip ‘ernstige criminaliteit’ in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, door het Hof zou worden beschouwd als een autonoom begrip van Unierecht, het aldus zou moeten worden uitgelegd dat de ernstige aard van een strafbaar feit die de toegang door de bevoegde nationale autoriteiten tot persoonsgegevens krachtens artikel 15, lid 1, van richtlijn 2002/58 kan rechtvaardigen, niet moet worden beoordeeld door uitsluitend de mogelijk op te leggen straf in beschouwing te nemen, maar door bovendien rekening te houden met een aantal andere objectieve beoordelingscriteria, zoals de criteria die hierboven zijn genoemd.

D. Subsidiaire vaststelling van het vereiste minimumniveau van de straf ter bepaling of een strafbaar feit voldoende ernstig is om inmenging in de betrokken grondrechten te rechtvaardigen (tweede vraag)

108.

Met zijn tweede vraag verzoekt de verwijzende rechter het Hof in wezen, ten eerste, het minimumniveau van de voorgeschreven straf vast te stellen waarboven een strafbaar feit als ‘ernstige criminaliteit’ kan worden gekwalificeerd in de zin van de rechtspraak die voortvloeit uit de arresten Digital Rights en Tele2, en, ten tweede, vast te stellen of de drempel van drie jaar gevangenisstraf, waarin het Spaanse wetboek van strafvordering sinds de herziening van 2015122. voorziet, in overeenstemming is met de vereisten van Unierecht.

109.

Deze vraag wordt louter subsidiair voorgelegd, ingeval het Hof op de eerste prejudiciële vraag zou antwoorden dat de ernst van een strafbaar feit, als factor die een inmenging in de fundamentele rechten kan rechtvaardigen overeenkomstig deze rechtspraak, moet worden bepaald door uitsluitend de hoogte van de mogelijk op te leggen vrijheidsstraf in beschouwing te nemen.

110.

Gelet op het door mij voorgestelde antwoord op de eerste prejudiciële vraag is het mijns inziens niet nodig dat het Hof uitspraak doet op de tweede vraag. Omwille van de volledigheid zal ik desalniettemin enkele opmerkingen hieromtrent maken.

111.

Aangaande het eerste deelvan de tweede vraag ben ik net als met name de Tsjechische en de Estse regering van mening dat de hoogte van de voorgeschreven straf, die als enig criterium zou kunnen worden gebruikt om een strafbaar feit als ‘ernstige criminaliteit’ te kwalificeren, niet eenvormig kan worden vastgesteld voor het gehele grondgebied van de Unie, gelet op de overwegingen die hierboven zijn uiteengezet in antwoord op de eerste vraag van de verwijzende rechter.123.

112.

Overigens zijn deze verschillen in definitie van wat moet worden verstaan onder ‘ernstige criminaliteit’, in het bijzonder met betrekking tot de hoogte van de straf waarboven een strafbaar feit als dusdanig kan worden gekwalificeerd', ook terug te vinden in de rechtshandelingen van de Unie. Zo voorzien de handelingen van de Unie die zijn vastgesteld op grond van artikel 83, lid 1, VWEU, in gevangenisstraffen van verschillende hoogten voor strafbare feiten die niettemin worden beschouwd als vormen van ‘bijzonder zware criminaliteit’.124. Dit blijkt bijvoorbeeld uit artikel 3, van richtlijn 2011/93/EU125. en artikel 15 van richtlijn (EU) 2017/541126., betreffende de bestrijding van seksueel misbruik van kinderen en kinderpornografie, respectievelijk de bestrijding van terrorisme. De wetgever van de Unie hanteert zelf dus geen eenvormige definitie van het begrip ‘ernstige criminaliteit’ op basis van de vastgestelde hoogte van de voorgeschreven straf.

113.

Ik wijs er nogmaals op dat de vrijheid die de lidstaten hebben om de vereiste minimumhoogte van de straf te bepalen waarboven strafbare feiten worden beschouwd als ‘ernstige criminaliteit’, wordt geflankeerd door normen van Unierecht op dit gebied, maar ook door het beginsel dat een uitzondering niet dusdanig ruim mag worden opgevat dat zij hierdoor feitelijk de algemene regel wordt.127.

114.

In casu hebben de lidstaten, ook al hebben zij de mogelijkheid om zelf te beoordelen vanaf welke passende strafmaat sprake is van ‘ernstige criminaliteit’, evenwel de plicht om deze strafmaat niet op een dusdanig laag niveau vast te stellen in vergelijking met de gangbare strafmaten in de betreffende lidstaat128. dat de in dat artikel 15, lid 1, bepaalde uitzonderingen op het verbod om persoonsgegevens te bewaren en te gebruiken tot principes worden verheven, zoals de Ierse regering terecht heeft opgemerkt.

115.

Voorts staat vast dat in geval van inmengingen in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten die krachtens artikel 15, lid 1, van richtlijn 2002/58 door de lidstaten zouden kunnen worden toegestaan, bovendien nog altijd naleving is geboden van de algemene vereisten die voortvloeien uit het evenredigheidsbeginsel dat is vervat in artikel 52, lid 1, van het Handvest.129.

116.

Aangaande het laatste deelvan de tweede vraag merken de Estse regering en de Commissie op dat, ten eerste, een drempel die uitsluitend is gebaseerd op een gevangenisstraf van ten minste drie jaar op zich lijkt te volstaan om een strafbaar feit te kwalificeren als ‘ernstige criminaliteit’ in de zin van de rechtspraak van het Hof inzake de toegang tot persoonsgegevens die voortvloeit uit het arrest Digital Rights, en, ten tweede, een dergelijke drempel niet kennelijk onverenigbaar is met het Unierecht in het algemeen130., en meer in het bijzonder met artikel 15, lid 1, van richtlijn 2002/58.

117.

Desondanks zou het mijns inziens wenselijk zijn dat het Hof zich onthoudt van een oordeel ten gunste van een welbepaalde strafmaat. Wat voor bepaalde lidstaten geschikt is, is immers niet per definitie geschikt voor andere lidstaten, en wat vandaag geldt voor een bepaald type strafbaar feit, is niet noodzakelijkerwijs onherroepelijk en geldt in de toekomst mogelijkerwijs niet meer, zoals ik reeds heb opgemerkt.131. Aangezien de vaststelling van de betreffende drempel een complexe en mogelijk evolutieve beoordeling vergt, pleit ik dienaangaande voor een voorzichtige benadering en ben ik van mening dat deze handeling, indien deze binnen de bevoegdheidssfeer van de Unie valt, moet worden overgelaten aan het oordeel van de Uniewetgever, en anders aan het oordeel van de wetgever van de afzonderlijke lidstaten, evenwel binnen de grenzen van de Unierechtelijke vereisten.

118.

Aangaande dit laatste punt wijs ik erop dat de verwijzende rechter in casu vaststelt dat, zoals hierboven reeds is vermeld132., het risico bestaat dat de algemene regel en de afwijkingen waarin richtlijn 2002/58 voorziet, worden omgekeerd, waarbij hij opmerkt dat ‘de drempel van drie jaar gevangenisstraf [die in 2015 door de Spaanse wetgever is ingevoerd133.] verreweg het merendeel van de strafbaar gestelde gedragingen’ kan bestrijken. Anders gezegd, volgens de verwijzende rechter zou de bij de herziening van het wetboek van strafvordering vastgestelde huidige lijst van strafbare feiten die in Spanje de beperkingen van de in de artikelen 7 en 8 van het Handvest beschermde rechten kunnen rechtvaardigen, in de praktijk impliceren dat het merendeel van de in het wetboek van strafrecht bepaalde strafbare feiten op die lijst komt te staan.

119.

In de veronderstelling dat de inmenging in het hoofdgeding door het Hof als ernstig zou worden aangemerkt en het door de verwijzende rechter genoemde gevolg zich zou voltrekken, dan zou dit gevolg in mijn ogen niet te verzoenen zijn met het evenredigheidsvereiste, waaraan dergelijke beperkingen zijn onderworpen.134. Het bestaan van rechterlijke toetsing, waarop de Spaanse regering heeft gewezen, doet mijns inziens niets af aan deze vaststelling, aangezien deze toetsing uitsluitend de uitvoering kan beletten van maatregelen waarvan in een concreet geval is komen vast te staan dat ze willekeurig zijn of te ver ingrijpen, en niet het gebruik van maatregelen van dit type en de ontwikkeling ervan in algemene zin kan verhinderen.

120.

Tot slot wil ik benadrukken dat de in dit gedeelte voorgestelde zienswijze volgens mij overeenstemt met de in de rechtspraak van het EHRM gekozen benadering inzake de bescherming van persoonsgegevens. Deze rechterlijke instantie heeft, zoals de Ierse regering en de Commissie aangeven, inderdaad geoordeeld dat de nationale regelgevingen met een definitie van ‘ernstige’ strafbare feiten die een inmenging in de persoonlijke levenssfeer kunnen rechtvaardigen, voldoende duidelijk zijn wanneer hierin wordt verwezen naar een voorgeschreven gevangenisstraf van ten minste drie jaar.135. Desalniettemin heeft dat hof deze strafmaat in mijn ogen niet verheven tot absoluut, vaststaand criterium voor deze definiëring, aangezien zijn rechtspraak mijns inziens gericht is op het vereiste van voldoende voorspelbaarheid en duidelijkheid voor de burgers met betrekking tot de aard van de strafbare feiten die een dergelijke inmenging kunnen rechtvaardigen en niet zozeer met betrekking tot de voorgeschreven straf.136. Hoewel het EHRM de staten overigens een zekere marge laat om het bestaan en de mate van noodzakelijkheid van een dergelijke inmenging te beoordelen, onderwerpt het deze beoordelingsmarge niettemin aan toetsing op Europees niveau.137. In het bijzonder ziet dat hof erop toe dat misbruik wordt voorkomen als gevolg van regelgevingen waarin een dermate groot aantal strafbare feiten is bepaald dat het merendeel van de strafbare feiten ingrijpende maatregelen kan rechtvaardigen.138.

121.

Concluderend ben ik dan ook van mening dat, ingeval het Hof — in weerwil van mijn voorstel — zou oordelen dat uitsluitend de hoogte van de voorgeschreven straf in beschouwing moet worden genomen teneinde een strafbaar feit als ‘ernstige criminaliteit’ te kwalificeren in de zin van de rechtspraak die voortvloeit uit het arrest Digital Rights, op de tweede prejudiciële vraag moet worden geantwoord dat de lidstaten vrij zijn om dienaangaande de minimale hoogte van de relevante straf vast te stellen, voor zover zij de vereisten van het Unierecht in acht nemen, in het bijzonder die vereisten op grond waarvan inmengingen in de in de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten een uitzondering moeten blijven en het evenredigheidsbeginsel moeten eerbiedigen.

V. Conclusie

122.

Gelet op een en ander geef ik het Hof in overweging de prejudiciële vragen van de Audiencia Provincial de Tarragona te beantwoorden als volgt:

‘Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, moet aldus worden uitgelegd dat een maatregel die de bevoegde nationale autoriteiten, ter bestrijding van strafbare feiten, toegang geeft tot de identificatiegegevens van de gebruikers van de telefoonnummers die zijn geactiveerd met een specifieke telefoon over een afgebakende tijdspanne, in omstandigheden als in het hoofdgeding, een inmenging vormt in de fundamentele rechten die in deze richtlijn en in het Handvest worden gewaarborgd, die niet dermate ernstig is dat deze toegang moet worden beperkt tot gevallen waarin het betrokken strafbare feit ernstig is.’

Deze functie is alleen te gebruiken als je bent ingelogd.