HvJ EU, 21-12-2016, nr. C-203/15, nr. C-698/15

Documentgegevens:

ECLI:EU:C:2016:970

Instantie: Hof van Justitie van de Europese Unie
Datum: 21-12-2016
Magistraten: K. Lenaerts, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz, J.L. da Cruz Vilaça, E. Juhász, M. Vilaras, A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen, C. Lycourgos
Zaaknummer: C-203/15
C-698/15
Conclusie: H. Saugmandsgaard Øe
Roepnaam: Tele2 Sverige
Vakgebied(en): EU-recht (V)
Brondocumenten en formele relaties: ECLI:EU:C:2016:970, Uitspraak, Hof van Justitie van de Europese Unie, 21‑12‑2016
ECLI:EU:C:2016:572, Conclusie, Hof van Justitie van de Europese Unie, 19‑07‑2016

Uitspraak 21‑12‑2016

K. Lenaerts, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz, J.L. da Cruz Vilaça, E. Juhász, M. Vilaras, A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen, C. Lycourgos

Partij(en)

In de gevoegde zaken C-203/15 en C-698/15,*

betreffende verzoeken om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Kammarrätt i Stockholm (bestuursrechter in tweede aanleg Stockholm, Zweden) en de Court of Appeal (England and Wales) (Civil Division) (rechter in tweede aanleg in burgerlijke zaken, Engeland en Wales, Verenigd Koninkrijk), bij beslissingen van, respectievelijk, 29 april 2015 en 9 december 2015, ingekomen bij het Hof op 4 mei 2015 en 28 december 2015, in de procedures

Tele2 Sverige AB (C-203/15)

tegen

Post- och telestyrelsen,

Secretary of State for the Home Department (C-698/15)

tegen

Tom Watson,

Peter Brice,

Geoffrey Lewis,

in tegenwoordigheid van:

Open Rights Group,

Privacy International,

The Law Society of England and Wales,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, A. Tizzano, vicepresident, R. Silva de Lapuerta, T. von Danwitz (rapporteur), J. L. da Cruz Vilaça, E. Juhász en M. Vilaras, kamerpresidenten, A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen en C. Lycourgos, rechters,

advocaat-generaal: H. Saugmandsgaard Øe,

griffier: C. Strömholm, administrateur,

gezien de beslissing van de president van het Hof van 1 februari 2016 om zaak C-698/15 te behandelen volgens de versnelde procedure van artikel 105, lid 1, van het Reglement voor de procesvoering van het Hof,

gezien de stukken en na de terechtzitting op 12 april 2016,

gelet op de opmerkingen van:

—: Tele2 Sverige AB, vertegenwoordigd door M. Johansson en N. Torgerzon, advokater, en E. Lagerlöf en S. Backman,
—: Tom Watson, vertegenwoordigd door J. Welch en E. Norton, solicitors, I. Steele, advocate, B. Jaffey, barrister, en D. Rose, QC,
—: Peter Brice en Geoffrey Lewis, vertegenwoordigd door A. Suterwalla en R. de Mello, barristers, R. Drabble, QC, en S. Luke, solicitor,
—: Open Rights Group en Privacy International, vertegenwoordigd door D. Carey, solicitor, en R. Mehta en J. Simor, barristers,
—: The Law Society of England and Wales, vertegenwoordigd door T. Hickman, barrister, en N. Turner,
—: de Zweedse regering, vertegenwoordigd door A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren en L. Swedenborg als gemachtigden,
—: de regering van het Verenigd Koninkrijk, vertegenwoordigd door S. Brandon, L. Christie en V. Kaye als gemachtigden, bijgestaan door D. Beard, G. Facenna en J. Eadie, QC, en S. Ford, barrister,
—: de Belgische regering, vertegenwoordigd door J.-C. Halleux, S. Vanrie en C. Pochet als gemachtigden,
—: de Tsjechische regering, vertegenwoordigd door M. Smolek en J. Vláčil als gemachtigden,
—: de Deense regering, vertegenwoordigd door C. Thorning en M. Wolff als gemachtigden,
—: de Duitse regering, vertegenwoordigd door T. Henze, M. Hellmann en J. Kemper als gemachtigden, bijgestaan door M. Kottmann en U. Karpenstein, Rechtsanwälte,
—: de Estse regering, vertegenwoordigd door K. Kraavi-Käerdi als gemachtigde,
—: Ierland, vertegenwoordigd door E. Creedon, L. Williams en A. Joyce als gemachtigden, bijgestaan door D. Fennelly, BL,
—: de Spaanse regering, vertegenwoordigd door A. Rubio González als gemachtigde,
—: de Franse regering, vertegenwoordigd door G. de Bergues, D. Colas, F.-X. Bréchot en C. David als gemachtigden,
—: de Cypriotische regering, vertegenwoordigd door K. Kleanthous als gemachtigde,
—: de Hongaarse regering, vertegenwoordigd door M. Fehér en G. Koós als gemachtigden,
—: de Nederlandse regering, vertegenwoordigd door M. Bulterman, M. Gijzen en J. Langer als gemachtigden,
—: de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde,
—: de Finse regering, vertegenwoordigd door J. Heliskoski als gemachtigde,
—: de Europese Commissie, vertegenwoordigd door H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira en J. Vondung als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 19 juli 2016,

het navolgende

Arrest

1

De verzoeken om een prejudiciële beslissing betreffen de uitlegging van artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11) (hierna: ‘richtlijn 2002/58’), gelezen tegen de achtergrond van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie (hierna: ‘Handvest’).

2

Deze verzoeken zijn ingediend in het kader van twee gedingen, het eerste tussen Tele2 Sverige AB en de Post- och telestyrelse (Zweedse toezichthoudende autoriteit voor post en telecommunicatie; hierna: ‘PTS’) over een door laatstgenoemde aan Tele2 Sverige gegeven bevel om de verkeersgegevens en de locatiegegevens van haar abonnees en geregistreerde gebruikers te bewaren (zaak C-203/15), en het tweede tussen Tom Watson, Peter Brice en Geoffrey Lewis enerzijds en de Secretary of State for the Home Department (minister van Binnenlandse Zaken, Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland) anderzijds over de overeenstemming met het Unierecht van section 1 van de Data Retention and Investigatory Powers Act 2014 (wet van 2014 betreffende de bewaring van gegevens en de onderzoeksbevoegdheden; hierna: ‘DRIPA’) (zaak C-698/15).

Toepasselijke bepalingen

Unierecht

Richtlijn 2002/58

3

In de overwegingen 2, 6, 7, 11, 21, 22, 26 en 30 van richtlijn 2002/58 staat te lezen:

‘(2): Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het [Handvest]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 [van het Handvest] bedoelde rechten […].
: […]
(6): Het internet vervangt traditionele marktstructuren door te voorzien in een gemeenschappelijke, wereldwijde infrastructuur voor de levering van een breed scala van elektronischecommunicatiediensten. Algemeen beschikbare elektronischecommunicatiediensten via het internet bieden de gebruikers nieuwe mogelijkheden, maar houden ook nieuwe gevaren in voor de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.
(7): Voor openbare communicatienetwerken moeten specifieke wettelijke, bestuursrechtelijke en technische bepalingen worden vastgesteld teneinde de fundamentele rechten en vrijheden van natuurlijke personen en de rechtmatige belangen van rechtspersonen te beschermen tegen met name de steeds grotere mogelijkheden in verband met de geautomatiseerde opslag en verwerking van gegevens met betrekking tot de abonnees en de gebruikers.
: […]
(11): Deze richtlijn is evenmin als richtlijn 95/46/EG [van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31)] van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens, in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.
: […]
(21): Er moeten maatregelen worden getroffen om onbevoegde toegang tot communicatie te verhinderen, teneinde het vertrouwelijk karakter van communicatie via openbare communicatienetwerken en openbare elektronischecommunicatiediensten te beschermen, zowel ten aanzien van de inhoud zelf als van gegevens over die communicatie. De nationale wetgeving van sommige lidstaten verbiedt uitsluitend opzettelijke onbevoegde toegang tot communicatie.
(22): Het verbod op het opslaan van communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers of zonder hun toestemming is niet bedoeld om de automatische, tussentijdse en tijdelijke opslag van die informatie te verbieden, voor zover deze opslag uitsluitend dient voor het doorzenden in het elektronischecommunicatienetwerk en mits de informatie niet langer wordt opgeslagen dan nodig voor het doorzenden en het beheer van het verkeer, en het vertrouwelijk karakter tijdens de opslag gewaarborgd blijft. […]
: […]
(26): De gegevens over abonnees die in elektronischecommunicatienetwerken worden verwerkt om verbindingen tot stand te brengen en informatie over te dragen, bevatten informatie over het privéleven van natuurlijke personen en betreffen het recht op respect voor hun correspondentie of de rechtmatige belangen van rechtspersonen. Dergelijke gegevens mogen slechts worden opgeslagen voor zover dat nodig is voor het leveren van de dienst, voor facturering en voor interconnectiebetalingen, en slechts gedurende een beperkte tijd. Elke verdere verwerking van dergelijke gegevens […] is slechts toegestaan indien de abonnee daarmee heeft ingestemd op basis van precieze en volledige informatie van de aanbieder van de openbare elektronischecommunicatiedienst over de door hem geplande verdere verwerking van de gegevens en over het recht van de abonnee een dergelijke verwerking niet toe te staan of de toestemming daartoe in te trekken. […]
: […]
(30): Systemen voor elektronischecommunicatienetwerken en -diensten moeten op dusdanige wijze worden ontworpen dat het aantal persoonsgegevens tot het strikt noodzakelijke minimum wordt beperkt. […]’

4

Artikel 1, ‘Werkingssfeer en doelstelling’, van richtlijn 2002/58 bepaalt:

‘1.: Deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en -diensten in de Gemeenschap.
2.: Voor de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op richtlijn [95/46]. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn.
3.: Deze richtlijn is niet van toepassing op activiteiten die niet onder het EG-Verdrag vallen, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied.’

5

In artikel 2, ‘Definities’, van richtlijn 2002/58, staat:

‘Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronischecommunicatienetwerken en -diensten (‘kaderrichtlijn’) [(PB 2002, L 108, blz. 33)] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

: […]
b): ‘verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronischecommunicatienetwerk of voor de facturering ervan;
c): ‘locatiegegevens’: gegevens die in een elektronischecommunicatienetwerk of door een elektronischecommunicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronischecommunicatiedienst wordt aangegeven;
d): ‘communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronischecommunicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronischecommunicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;
: […]’

6

Artikel 3, ‘Betrokken diensten’, van richtlijn 2002/58 bepaalt:

‘Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.’

7

Artikel 4, ‘Beveiliging van de verwerking’, van deze richtlijn luidt als volgt:

‘1.

De aanbieder van een openbare elektronischecommunicatiedienst treft passende technische en organisatorische maatregelen om de veiligheid van zijn diensten te garanderen, indien nodig in overleg met de aanbieder van het openbare communicatienetwerk wat de veiligheid van het netwerk betreft. Die maatregelen waarborgen een beveiligingsniveau dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van uitvoering ervan.

1 bis.

Onverminderd richtlijn [95/46] zorgen de in lid 1 bedoelde maatregelen ervoor dat in ieder geval:

—: wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;
—: opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave, en
—: een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.
: […]’

8

In artikel 5, ‘Vertrouwelijk karakter van de communicatie’, van richtlijn 2002/58 staat:

‘1.: De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronischecommunicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.
: […]
3.: De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn [95/46], onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronischecommunicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’

9

Artikel 6, ‘Verkeersgegevens’, van richtlijn 2002/58 bepaalt:

‘1.: Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronischecommunicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.
2.: Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.
3.: De aanbieder van een openbare elektronischecommunicatiedienst mag ten behoeve van de marketing van elektronischecommunicatiediensten of voor de levering van diensten met toegevoegde waarde de in lid 1 bedoelde gegevens verwerken voor zover en voor zolang dat nodig is voor dergelijke diensten of marketing, indien de abonnee of de gebruiker waarop de gegevens betrekking hebben daartoe zijn voorafgaande toestemming heeft gegeven. Gebruikers of abonnees kunnen hun toestemming voor de verwerking van verkeersgegevens te allen tijde intrekken.
: […]
5.: De verwerking van verkeersgegevens overeenkomstig de leden 1 tot en met 4 mag alleen worden uitgevoerd door personen die werkzaam zijn onder het gezag van de aanbieders van de openbare communicatienetwerken of -diensten voor facturering of verkeersbeheer, behandeling van verzoeken om inlichtingen van klanten, opsporing van fraude en marketing van elektronischecommunicatiediensten van de aanbieder of de levering van diensten met toegevoegde waarde, en moet beperkt blijven tot hetgeen noodzakelijk is om die activiteiten te kunnen uitvoeren.’

10

In artikel 9, ‘Andere locatiegegevens dan verkeersgegevens’, lid 1, van deze richtlijn staat:

‘Wanneer andere locatiegegevens dan verkeersgegevens die betrekking hebben op gebruikers of abonnees van elektronischecommunicatienetwerken of -diensten verwerkt kunnen worden, mogen deze gegevens slechts worden verwerkt wanneer zij anoniem zijn gemaakt of wanneer de gebruikers of abonnees daarvoor hun toestemming hebben gegeven, voor zover en voor zolang zulks nodig is voor de levering van een dienst met toegevoegde waarde. De dienstenaanbieder moet de gebruikers of abonnees, voorafgaand aan het verkrijgen van hun toestemming, in kennis stellen van de soort locatiegegevens andere dan verkeersgegevens, die zullen worden verwerkt, en van de doeleinden en de duur van die verwerking, en hun meedelen of deze gegevens aan een derde zullen worden doorgegeven ten behoeve van de levering van de dienst met toegevoegde waarde. […]’

11

Artikel 15, ‘Toepassing van een aantal bepalingen van richtlijn [95/46]’, van deze richtlijn luidt als volgt:

‘1.: De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale [veiligheid], d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.
: […]
1 ter.: Aanbieders zetten interne procedures op voor de afhandeling van verzoeken om toegang tot persoonsgegevens van gebruikers op de grondslag van nationale bepalingen die overeenkomstig lid 1 zijn aangenomen. Zij verstrekken aan de bevoegde nationale instantie op verzoek gegevens over deze procedures, het aantal ontvangen verzoeken, de aangevoerde wettelijke motivering en hun antwoord.
2.: Het bepaalde in hoofdstuk III van richtlijn [95/46] inzake beroep op de rechter, aansprakelijkheid en sancties geldt voor de nationale bepalingen die uit hoofde van deze richtlijn worden aangenomen en ten aanzien van de individuele rechten die uit deze richtlijn voortvloeien.
: […]’

Richtlijn 95/46

12

Artikel 22 van richtlijn 95/46, dat deel uitmaakt van hoofdstuk III van deze richtlijn, luidt als volgt:

‘Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de lidstaten dat een ieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden.’

Richtlijn 2006/24

13

Artikel 1, ‘Onderwerp en werkingssfeer’, lid 2, van richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB 2006, L 105, blz. 54) bepaalde:

‘Deze richtlijn heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren. Zij is niet van toepassing op de inhoud van elektronische communicatie, de informatie die wordt geraadpleegd met behulp van een elektronischecommunicatienetwerk daaronder begrepen.’

14

Artikel 3, ‘Verplichting om gegevens te bewaren’, van deze richtlijn luidt als volgt:

‘1.: In afwijking van de artikelen 5, 6 en 9 van richtlijn [2002/58] nemen de lidstaten bepalingen aan om te waarborgen dat de in artikel 5 bedoelde gegevens, voor zover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt door onder hun rechtsmacht vallende aanbieders van openbare elektronischecommunicatiediensten of een openbaar communicatienetwerk bij het leveren van de betreffende communicatiediensten, worden bewaard overeenkomstig de bepalingen van deze richtlijn.
2.: De verplichting tot gegevensbewaring voorzien in lid 1 omvat de bewaring van de in artikel 5 bedoelde gegevens betreffende oproeppogingen zonder resultaat waarbij die gegevens, voor zover die in verband met de aanbieding van de bedoelde communicatiediensten worden gegenereerd, verwerkt en opgeslagen (wat telefoniegegevens betreft) of gelogd (wat internetgegevens betreft) door onder de rechtsmacht van de betrokken lidstaat vallende aanbieders van openbaar beschikbare elektronischecommunicatiediensten of van een openbaar communicatienetwerk. Deze richtlijn bevat geen vereisten betreffende de bewaring van gegevens in verband met niet tot stand gekomen verbindingen.’

Zweeds recht

15

Uit de verwijzingsbeslissing in zaak C-203/15 blijkt dat de Zweedse wetgever, om richtlijn 2006/24 in nationaal recht om te zetten, de lag (2003:389) om elektronisk kommunikation [wet (2003:389) betreffende elektronische communicatie; hierna: ‘LEK’] en de förordning (2003:396) om elektronisk kommunikation [verordening (2003:396) betreffende elektronische communicatie; hierna: ‘FEK’] heeft gewijzigd. Beide teksten, in de op het hoofdgeding toepasselijke versie ervan, bevatten regels over het bewaren van de gegevens betreffende elektronische communicatie en over de toegang van de nationale autoriteiten tot die gegevens.

16

De toegang tot die gegevens wordt bovendien geregeld in de lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet [wet (2012:278) betreffende de verzameling van gegevens over elektronische communicatie bij de opsporingsactiviteiten van handhavingsautoriteiten; hierna: ‘wet 2012:278’] en in de rättegångsbalk (wetboek van burgerlijke rechtsvordering; hierna: ‘RB’).

Verplichting tot bewaring van de gegevens betreffende de elektronische communicatie

17

Volgens de door de verwijzende rechterlijke instantie in zaak C-203/15 verstrekte gegevens legt § 16 a van hoofdstuk 6 van de LEK, gelezen in samenhang met § 1 van hoofdstuk 2 van deze wet, de aanbieders van elektronischecommunicatiediensten de verplichting op tot bewaring van de gegevens die volgens richtlijn 2006/24 dienden te worden bewaard. Het gaat om de gegevens betreffende de abonnementen en de elektronische communicatie die nodig zijn voor het opsporen en identificeren van de bron en de bestemming van een communicatie, voor het bepalen van de datum, het tijdstip, de duur en de aard van de communicatie, voor het identificeren van de gebruikte communicatieapparatuur en voor het bepalen van de locatie van de mobiele communicatieapparatuur bij de aanvang en de beëindiging van de communicatie. De bewaringsverplichting betreft gegevens die zijn gegenereerd of verwerkt in het kader van telefoondiensten, telefoondiensten via mobiele aansluitingspunten, systemen voor elektronischeberichtenverkeer, en diensten die toegang tot het internet verschaffen of capaciteit voor internettoegang ter beschikking stellen (connector). Deze verplichting geldt ook voor de gegevens betreffende niet tot stand gekomen communicaties. Zij ziet echter niet op de inhoud van de communicaties.

18

In de §§ 38 tot en met 43 van de verordening (2003:396) betreffende elektronische communicatie wordt nader uiteengezet welke categorieën van gegevens moeten worden bewaard. Wat de telefoondiensten betreft, moeten met name het bellende en het opgebelde nummer worden bewaard, alsook de datum en het traceerbare tijdstip waarop de communicatie begon en eindigde. Met betrekking tot de telefoondiensten via mobiele aansluitingspunten worden aanvullende verplichtingen opgelegd, zoals bijvoorbeeld het bewaren van de locatiegegevens van het begin en het einde van de communicatie. Met betrekking tot de telefoondiensten waarbij internetprotocollen worden gebruikt, moeten, behalve bovengenoemde gegevens, met name ook de IP-adressen van de beller en van de opgebelde persoon worden bewaard. Met betrekking tot de systemen van elektronischeberichtenverkeer moeten met name de nummers en de IP-adressen of andere berichtadressen van de verzenders en de ontvangers worden bewaard. Ter zake van de diensten die toegang tot het internet verschaffen, moeten bijvoorbeeld het IP-adres van de gebruiker alsook de datum en het traceerbare tijdstip van de log-in en log-off van de internetsessie worden bewaard.

Bewaringstermijn van de gegevens

19

Volgens § 16 d van hoofdstuk 6 van de LEK moeten de in § 16 a van dat hoofdstuk bedoelde gegevens door de aanbieders van elektronischecommunicatiediensten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie is beëindigd. Zij moeten vervolgens onverwijld worden gewist, tenzij in § 16 d, tweede alinea, van dat hoofdstuk anders is bepaald.

Toegang tot de bewaarde gegevens

20

De toegang tot de door de nationale autoriteiten bewaarde gegevens wordt geregeld door de bepalingen van wet 2012:278, van de LEK en van de RB.

— Wet 2012:278

21

In het kader van de inlichtingsactiviteiten mogen de nationale politie, de Säkerhetspolis (inlichtingendienst, Zweden) en de Tullverk (douane, Zweden) op grond van § 1 van wet 2012:278 onder de in die wet gestelde voorwaarden buiten medeweten van degene die overeenkomstig de LEK een elektronischecommunicatienetwerk of een elektronischecommunicatiedienst aanbiedt, gegevens verzamelen over de berichten die in een elektronischecommunicatienetwerk zijn overgebracht, de elektronischecommunicatieapparatuur die in een bepaald geografisch gebied aanwezig was, en het geografische gebied of de geografische gebieden waarin bepaalde elektronischecommunicatieapparatuur aanwezig is of was.

22

Volgens de §§ 2 en 3 van wet 2012:278 kunnen de gegevens in beginsel worden verzameld indien de omstandigheden van dien aard zijn dat de maatregel bijzonder noodzakelijk is voor het voorkomen, verhinderen of vaststellen van een criminele activiteit die ofwel een of meer strafbare feiten omvat waarop ten minste twee jaar gevangenisstraf staat, ofwel een van de in § 3 van die wet genoemde handelingen, waaronder strafbare feiten waarop een gevangenisstraf van minder dan twee jaar staat. De redenen voor deze maatregel moeten opwegen tegen de aantasting of de schade die deze maatregel meebrengt voor degene die er het voorwerp van is, of voor een tegengesteld belang. Volgens § 5 van die wet mag de maatregel niet meer dan een maand duren.

23

De beslissing om een dergelijke maatregel te treffen wordt genomen door de directeur van de betrokken autoriteit of door een daartoe gemachtigde persoon. Zij is niet onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke autoriteit.

24

Volgens § 6 van wet 2012:278 moet de Säkerhets- och integritetsskyddsnämnd (veiligheids- en integriteitscommissie, Zweden) in kennis worden gesteld van elke beslissing waarbij toestemming wordt verleend voor het verzamelen van gegevens. Op grond van § 1 van de lag (2007:980) om tillsyn över viss brottsbekämpande verksamhet [wet (2007:980) betreffende het toezicht op bepaalde wetshandhavingsactiviteiten] moet die autoriteit toezien op de toepassing van de wet door de handhavingsautoriteiten.

— LEK

25

Volgens § 22, eerste alinea, punt 2, van hoofdstuk 6 van de LEK moet iedere aanbieder van elektronischecommunicatiediensten op verzoek van het parket, van de nationale politie, van de inlichtingendienst of van enige andere strafrechtelijke autoriteit de abonnementsgegevens meedelen indien die gegevens verband houden met een vermoeden van een strafbaar feit. Volgens de door de verwijzende rechterlijke instantie in zaak C-203/15 verstrekte gegevens is het niet noodzakelijk dat het daarbij gaat om een ernstig strafbaar feit.

— RB

26

De RB regelt de mededeling van de bewaarde gegevens aan de nationale autoriteiten in het kader van opsporingsonderzoeken. Volgens § 19 van hoofdstuk 27 van de RB is het ‘onder toezicht plaatsen van elektronische communicaties’ buiten medeweten van derden in beginsel toegestaan in het kader van opsporingsonderzoeken naar, met name, strafbare feiten waarop een gevangenisstraf van ten minste zes maanden staat. Onder het ‘onder toezicht plaatsen van elektronische communicaties’ dient volgens § 19 van hoofdstuk 27 van de RB te worden verstaan, het buiten medeweten van derden verkrijgen van gegevens over berichten die in een elektronischecommunicatienetwerk worden overgebracht, de elektronischecommunicatieapparatuur die in een bepaald geografisch gebied aanwezig is of was, en het geografische gebied of de geografische gebieden waarin bepaalde elektronischecommunicatieapparatuur aanwezig is of was.

27

Volgens de door de verwijzende rechterlijke instantie in zaak C-203/15 verstrekte gegevens kunnen op grond van § 19 van hoofdstuk 27 van de RB geen inlichtingen worden verkregen over de inhoud van een bericht. In beginsel kan op grond van § 20 van hoofdstuk 27 van de RB het onder toezicht plaatsen van elektronische communicaties slechts worden gelast wanneer een persoon op grond van plausibele aanwijzingen van een strafbaar feit wordt verdacht en de maatregel van bijzonder belang is voor het onderzoek, waarbij dit onderzoek betrekking moet hebben op een strafbaar feit waarop een gevangenisstraf van ten minste twee jaar staat of op de poging tot, de voorbereiding van of de strafbare samenspanning tot een dergelijk strafbaar feit. Volgens § 21 van hoofdstuk 27 van de RB moet het parket, behoudens in gevallen van spoedeisendheid, de bevoegde rechter toestemming vragen voor het onder toezicht plaatsen van elektronische communicaties.

Beveiliging en bescherming van de bewaarde gegevens

28

Volgens § 3 a van hoofdstuk 6 van de LEK moeten de aanbieders van elektronischecommunicatiediensten op wie een verplichting tot bewaring van de gegevens rust, passende technische en organisatorische maatregelen nemen om de bescherming van de gegevens bij de verwerking ervan te garanderen. Volgens de door de verwijzende rechterlijke instantie in zaak C-203/15 verstrekte gegevens bevat het Zweedse recht echter geen bepalingen over de plaats waar de gegevens moeten worden bewaard.

Recht van het Verenigd Koninkrijk

DRIPA

29

Section 1, ‘Aan waarborgen onderworpen bevoegdheden tot bewaring van relevante communicatiegegevens’, van de DRIPA bepaalt:

‘(1)

De Secretary of State kan door middel van een handeling (de ‘aanzegging tot bewaring’) eisen dat een openbaar telecommunicatiebedrijf relevante communicatiegegevens bewaart, indien hij van mening is dat dit noodzakelijk en evenredig is met het oog op een of meer van de doelstellingen van de punten (a) tot en met (h) van section 22, lid 2, van de Regulation of Investigatory Powers Act 2000 [wet van 2000 houdende regeling van de onderzoeksbevoegdheden] (doelstellingen waarvoor communicatiegegevens mogen worden verzameld).

(2)

Een aanzegging tot bewaring kan

(a): betrekking hebben op één bepaald bedrijf of een bepaalde categorie bedrijven;
(b): de bewaring van alle gegevens of een bepaald type gegevens vereisen;
(c): de periode of de perioden aangeven gedurende welke de gegevens moeten worden bewaard;
(d): andere voorwaarden of beperkingen bevatten met betrekking tot de bewaring van de gegevens;
(e): voor verschillende doeleinden verschillende regelingen treffen, en
(f): betrekking hebben op gegevens die al dan niet bestaan op het moment waarop de aanzegging wordt gedaan of van kracht wordt.

(3)

De Secretary of State kan, bij wege van verordening, nadere regelingen over de bewaring van relevante communicatiegegevens vaststellen.

(4)

Dergelijke regelingen kunnen met name betrekking hebben op:

(a): de voorwaarden voor het doen van een aanzegging;
(b): de maximumduur van de gegevensbewaring op grond van een aanzegging tot bewaring;
(c): de inhoud, de vaststelling, het van kracht worden, de herziening, de wijziging of de herroeping van een aanzegging tot bewaring;
(d): de volledigheid, de beveiliging of de bescherming van de op grond van deze section bewaarde gegevens, de toegang tot die gegevens en het openbaar maken of het vernietigen ervan;
(e): de handhaving, of de controle op de naleving, van de relevante voorschriften of beperkingen;
(f): een gedragscode met betrekking tot de relevante voorwaarden, beperkingen of bevoegdheden;
(g): de (al dan niet aan voorwaarden verbonden) vergoeding door de Secretary of State van de kosten die openbare telecommunicatiebedrijven maken om te voldoen aan relevante voorschriften of beperkingen, en
(h): de buitenwerkingtreding van de [Data Retention (EC Directive) Regulations 2009 (voorschriften van 2009 inzake gegevensbewaring in de zin van de EG-richtlijn)] en de overgang naar de gegevensbewaring op grond van deze section.

(5)

De maximumduur bedoeld in lid 4, onder b), bedraagt niet meer dan 12 maanden vanaf de dag genoemd met betrekking tot de gegevens die worden beheerst door de in lid 3 bedoelde voorschriften.

[…]’

30

Section 2 van de DRIPA definieert ‘relevante communicatiegegevens’ als ‘het type communicatiegegevens dat wordt genoemd in de bijlage bij de voorschriften van 2009 inzake gegevensbewaring in de zin van de EG-richtlijn, voor zover dergelijke gegevens in het Verenigd Koninkrijk ontstaan of worden verwerkt door openbare telecommunicatiebedrijven tijdens het aanbieden van de betrokken telecommunicatiediensten’.

RIPA

31

In lid 4 van section 21 van de wet van 2000 houdende regeling van de onderzoeksbevoegdheden (hierna: ‘RIPA’), dat deel uitmaakt van hoofdstuk II, ‘Verkrijging en onthulling van communicatiegegevens’, van deze wet wordt gepreciseerd:

‘In dit hoofdstuk wordt onder ‘communicatiegegevens’ een van de hieronder staande begrippen verstaan:

(a)

verkeersgegevens die deel uitmaken van een communicatie of daaraan zijn toegevoegd (door de afzender of anderszins) ten behoeve van de posterijen of van een telecommunicatiesysteem waardoor deze communicatie wordt of kan worden doorgeleid;

(b)

informatie die geen inhoud van een communicatie omvat [behalve informatie die onder a) valt] en betrekking heeft op het gebruik door een persoon

(i): van de posterijen of van een telecommunicatiedienst, of
(ii): in verband met het aanbieden aan of gebruik door een persoon van een telecommunicatiedienst of een onderdeel van een telecommunicatiesysteem;

(c)

informatie die niet onder de punten a) of b) valt, die wordt bewaard of verkregen door een persoon die een post- of telecommunicatiedienst aanbiedt met betrekking tot personen aan wie hij de dienst aanbiedt.’

32

Volgens de verwijzingsbeslissing in zaak C-698/15 omvatten deze gegevens de ‘locatiegegevens van een gebruiker’, maar niet de gegevens over de inhoud van een communicatie.

33

Met betrekking tot de toegang tot de bewaarde gegevens bepaalt section 22 van de RIPA:

‘(1)

Deze section is van toepassing wanneer een voor de toepassing van dit hoofdstuk aangewezen persoon van mening is dat het om in lid 2) genoemde redenen noodzakelijk is communicatiegegevens te verkrijgen.

(2)

Het is om in dit lid genoemde redenen noodzakelijk de communicatiegegevens te verkrijgen wanneer dit nodig is:

(a): in het belang van de nationale veiligheid;
(b): om criminaliteit te voorkomen of aan het licht te brengen of om verstoring van de openbare orde te voorkomen;
(c): in het belang van het economisch welzijn van het Verenigd Koninkrijk;
(d): in het belang van de openbare veiligheid;
(e): ter bescherming van de volksgezondheid;
(f): voor het vaststellen van de grondslag of voor het innen van aan de overheid verschuldigde belastingen, accijnzen, heffingen of andere imposten, bijdragen of lasten;
(g): ter voorkoming, in een noodsituatie, van de dood, van verwondingen of van andere schade aan de lichamelijke of geestelijke gezondheid van een persoon, of ter leniging van verwondingen of schade aan de lichamelijke of geestelijke gezondheid van een persoon;
(h): voor alle andere [niet onder de punten a) tot en met g) vallende] doelen die die nader worden bepaald in een door de Secretary of State uitgevaardigd bevel.

(4)

Onverminderd het bepaalde in lid 5), kan de verantwoordelijke, indien hij van mening is dat een post- of telecommunicatiebedrijf in het bezit is van gegevens, in het bezit van gegevens zou kunnen zijn of gegevens zou kunnen verkrijgen, van dit post- of telecommunicatiebedrijf eisen

(a): dat het deze gegevens verkrijgt voor zover het deze niet al bezit, en
(b): in elk geval alle in zijn bezit zijnde of later verkregen gegevens onthult.

(5)

De verantwoordelijke mag geen toestemming in de zin van lid 3) geven en geen aanzegging in de zin van lid 4) doen, tenzij hij van oordeel is dat het verkrijgen van de betrokken gegevens op grond van een toegestane gedraging of van een aanzegging evenredig is met het doel dat met het verkrijgen van de gegevens wordt nagestreefd.’

34

Volgens section 65 van de RIPA kan bij het Investigatory Powers Tribunal (rechter die toezicht uitoefent op de onderzoeksbevoegdheden, Verenigd Koninkrijk) een klacht worden ingediend indien er een reden is om te veronderstellen dat gegevens op onjuiste wijze zijn verkregen.

Data Retention Regulations 2014

35

De Data Retention Regulations 2014 (voorschriften inzake gegevensbewaring van 2014) zijn vastgesteld op basis van de DRIPA en bestaan uit drie delen, waarvan het tweede deel de sections 2 tot en met 14 van deze voorschriften bevat. Section 4, ‘Aanzegging tot bewaring van gegevens’, bepaalt:

‘(1)

In de aanzegging tot bewaring moet worden gepreciseerd:

(a): het openbaar telecommunicatiebedrijf waartoe zij is gericht (of de beschrijving van het bedrijf),
(b): de relevante communicatiegegevens die moeten worden bewaard,
(c): de periode of de perioden gedurende dewelke de gegevens moeten worden bewaard,
(d): alle andere eisen of beperkingen ter zake van de bewaring van de gegevens.

(2)

In een aanzegging tot bewaring kan niet worden geëist dat gegevens meer dan 12 maanden worden bewaard, vanaf:

(a): in geval van verkeersgegeven of gegevens betreffende het gebruik van de dienst, de dag van de betrokken communicatie, en
(b): in geval van gegevens betreffende de abonnees, de dag waarop de betrokken persoon de betrokken communicatiedienst verlaat, of de dag waarop het gegeven is gewijzigd (indien dat op een eerdere datum is gebeurd).

[…]’

36

Section 7, ‘Volledigheid en beveiliging van de gegevens’, van deze voorschriften bepaalt:

‘(1)

Een openbaar telecommunicatiebedrijf dat op grond van section 1 van de [DRIPA] communicatiegegevens bewaart, moet:

(a): ervoor zorgen dat de gegevens even volledig en ten minste even beveiligd en beschermd zijn als de gegevens van de systemen waaruit zij afkomstig zijn,
(b): door middel van technische en organisatorische maatregelen ervoor zorgen dat alleen daartoe speciaal gemachtigde personeelsleden toegang kunnen krijgen tot de gegevens, en
(c): de gegevens, door middel van passende technische en organisatorische maatregelen, beschermen tegen onrechtmatige vernietiging, onvoorzien verlies of onvoorziene beschadiging, of niet-toegestane of ongeoorloofde bewaring, verwerking, toegang of onthulling.

(2)

Een openbaar telecommunicatiebedrijf dat op grond van section 1 van de [DRIPA] communicatiegegevens bewaart, moet de gegevens vernietigen wanneer de bewaring ervan niet langer is toegestaan op grond van deze section of op grond van een andere wetsbepaling.

(3)

De in lid 2) bedoelde eis van vernietiging van de gegevens betekent dat de gegevens moeten worden gewist op een wijze die de toegang tot die gegevens onmogelijk maakt.

(4)

Het volstaat dat het bedrijf de nodige maatregelen neemt om de gegevens maandelijks, of met kortere tussenpozen indien dat voor het bedrijf in de praktijk mogelijk is, te wissen.’

37

Section 8, ‘Onthulling van de bewaarde gegevens’, bepaalt:

‘(1): Een openbaar telecommunicatiebedrijf moet voorzien in een passende beveiliging (technische en organisatorische maatregelen daaronder begrepen) van de toegang tot de communicatiegegevens die op grond van section 1 van de [DRIPA] worden bewaard, teneinde elke niet onder section 1, lid 6), onder a), van de [DRIPA] vallende onthulling te voorkomen.
(2): Een openbaar telecommunicatiebedrijf dat op grond van section 1 van de [DRIPA] communicatiegegevens bewaart, moet de gegevens aldus bewaren dat zij zonder onnodige vertraging in antwoord op een aanzegging kunnen worden overgelegd.’

38

Section 9, ‘Toezicht door de Information Commissioner [(toezichthouder op de informatie)]’, bepaalt:

‘De Information Commissioner ziet toe op de inachtneming van de in dit deel geformuleerde eisen of beperkingen in verband met de volledigheid, de beveiliging en de vernietiging van de op grond van section 1 van de DRIPA bewaarde gegevens.’

Gedragscode

39

De punten 2.5 tot en met 2.9 en 2.36 tot en met 2.45 van de Acquisition and Disclosure of Communications Data Code of Practice (gedragscode voor de verkrijging en de onthulling van communicatiegegevens; hierna: ‘gedragscode’) bevatten richtsnoeren over de noodzaak en de evenredigheid van het verkrijgen van communicatiegegevens. Volgens de door de verwijzende rechterlijke instantie in zaak C-698/15 verstrekte uitleg moet overeenkomstig de punten 3.72 tot en met 3.77 van deze gedragscode bijzondere aandacht worden besteed aan de noodzaak en de evenredigheid wanneer de gevraagde communicatiegegevens betrekking hebben op een persoon die lid is van een beroepsgroep die beschikt over informatie waarvoor het beroepsgeheim geldt of over anderszins vertrouwelijke informatie.

40

Op grond van de punten 3.78 tot en met 3.84 van die gedragscode is een rechterlijk bevel vereist in het bijzondere geval van een verzoek om communicatiegegevens dat wordt gedaan om de bron van journalisten te achterhalen. Volgens de punten 3.85 tot en met 3.87 van die gedragscode is rechterlijke goedkeuring vereist in het geval van een door lokale autoriteiten geformuleerd verzoek om toegang. Daarentegen is geen rechterlijke machtiging of machtiging door een onafhankelijke entiteit vereist voor toegang tot communicatiegegevens waarvoor een in de wet verankerd beroepsgeheim geldt, of tot communicatiegegevens met betrekking tot artsen, parlementsleden of geestelijken.

41

In punt 7.1 van de gedragscode wordt bepaald dat de communicatiegegevens die worden verworven of verkregen op grond van de bepalingen van de RIPA en alle uittreksels, samenvattingen en afschriften van deze gegevens veilig moeten worden bewaard en opgeslagen. Bovendien moeten de in de Data Protection Act (wet betreffende de bescherming van gegevens) gestelde eisen in acht worden genomen.

42

In punt 7.18 van de gedragscode staat dat wanneer een overheidsinstantie van het Verenigd Koninkrijk van plan is om communicatiegegevens aan buitenlandse instanties te onthullen, zij met name moet onderzoeken of die gegevens passend zullen worden beschermd. Uit punt 7.22 van deze gedragscode blijkt echter dat gegevens aan derde landen kunnen worden overgedragen wanneer die overdracht noodzakelijk is om redenen die verband houden met een aanzienlijk openbaar belang, zelfs ingeval het derde land geen passend niveau van bescherming garandeert. Volgens de uitleg die de verwijzende rechterlijke instantie in zaak C-698/15 dienaangaande heeft verstrekt, kan de Secretary of State een nationaal veiligheidscertificaat afgeven, op grond waarvan voor bepaalde gegevens de bepalingen van de wet niet hoeven te worden geëerbiedigd.

43

In punt 8.1 van die gedragscode wordt eraan herinnerd dat de RIPA voorziet in een Interception of Communications Commissioner (toezichthouder op de onderschepping van communicaties, Verenigd Koninkrijk), wiens rol er met name in bestaat, op onafhankelijke wijze toezicht uit te oefenen op de uitoefening en de nakoming van de in hoofdstuk II van deel I van de RIPA genoemde rechten en plichten. Uit punt 8.3 van die gedragscode blijkt dat deze toezichthouder, wanneer hij kan ‘aantonen dat een persoon schade heeft geleden door een uit opzet of onvoorzichtigheid voortvloeiend verzuim’, deze persoon op de hoogte mag brengen van een vermoeden van onrechtmatig gebruik van bevoegdheden.

Hoofdgedingen en prejudiciële vragen

Zaak C-203/15

44

Op 9 april 2014 heeft Tele2 Sverige, een in Zweden gevestigde aanbieder van electronischecommunicatiediensten, de PTS officieel ervan in kennis gesteld dat zij, ten vervolge op de ongeldigverklaring van richtlijn 2006/24 bij het arrest van 8 april 2014, Digital Rights Ireland e.a. (C-293/12 en C-594/12; hierna: ‘arrest Digital Rights’, EU:C:2014:238), per 14 april 2014 de in de LEK bedoelde elektronischecommunicatiegegevens niet meer zou bewaren en de tot dan toe bewaarde gegevens zou vernietigen.

45

Op 15 april 2014 heeft de Rikspolisstyrelse (algemeen bestuur van de nationale politie, Zweden) bij de PTS een klacht ingediend wegens het feit dat Tele2 Sverige hem de betrokken gegevens niet langer meedeelde.

46

Op 29 april 2014 heeft de justitieminister (minister van Justitie, Zweden) een bijzondere rapporteur belast met de toetsing van de Zweedse regeling aan het arrest Digital Rights. In een rapport van 13 juni 2014 met als opschrift ‘Datalagring, EU-rätten och svensk rätt, n^o Ds 2014:23’ (Bewaring van gegeven, Unierecht en Zweeds recht; hierna: ‘rapport van 2014’) is de bijzondere rapporteur tot de slotsom gekomen dat de nationale regeling betreffende de bewaring van gegevens, zoals die is neergelegd in de §§ 16 a tot en met 16 f van de LEK, niet in strijd met het Unierecht was en evenmin met het op 4 november 1950 te Rome ondertekende Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: ‘EVRM’). De bijzondere rapporteur heeft beklemtoond dat het arrest Digital Rights niet in die zin kon worden uitgelegd dat het beginsel zelf van het algemeen en ongedifferentieerd bewaren van de gegevens daarin is gelaakt. Volgens hem mag het arrest Digital Rights ook niet in die zin worden begrepen dat het Hof daarin een aantal criteria heeft geformuleerd waaraan een regeling volledig moet voldoen om als evenredig te kunnen worden beschouwd. Om uit te maken of de Zweedse regeling in overeenstemming is met het Unierecht, zouden alle omstandigheden, zoals de omvang van de bewaring van de gegevens uit het oogpunt van de bepalingen betreffende de toegang tot de gegevens, de duur van de bewaring van de gegevens, de bescherming en de beveiliging daarvan, dienen te worden beoordeeld.

47

Op basis daarvan heeft de PTS Tele2 Sverige op 19 juni 2014 laten weten dat deze laatste de krachtens de nationale regeling op haar rustende verplichtingen niet nakwam door de in de LEK bedoelde gegevens niet gedurende zes maanden te bewaren ten behoeve van de bestrijding van de criminaliteit. Op 27 juni 2014 heeft de PTS Tele2 Sverige gelast, deze gegevens uiterlijk per 25 juli 2014 te bewaren.

48

Van oordeel dat het rapport van 2014 op een onjuiste uitlegging van het arrest Digital Rights berustte, en dat de verplichting tot bewaring van de gegevens in strijd was met de door het Handvest gewaarborgde grondrechten, heeft Tele2 Sverige tegen het bevel van 27 juni 2014 beroep ingesteld bij de Förvaltningsrätt i Stockholm (bestuursrechter in eerste aanleg Stockholm, Zweden). Nadat deze rechterlijke instantie het beroep bij vonnis van 13 oktober 2014 had verworpen, heeft Tele2 Sverige tegen dit vonnis hoger beroep ingesteld bij de verwijzende rechterlijke instantie.

49

Volgens de verwijzende rechterlijke instantie moet de verenigbaarheid van de Zweedse regeling met het Unierecht worden beoordeeld tegen de achtergrond van artikel 15, lid 1, van richtlijn 2002/58. Waar deze richtlijn het beginsel formuleert dat de verkeersgegevens en de locatiegegevens moeten worden gewist of anoniem moeten worden gemaakt wanneer zij niet langer nodig zijn voor de transmissie van een communicatie, voorziet artikel 15, lid 1, van deze richtlijn echter in een uitzondering op dit beginsel, aangezien het de lidstaten toestaat om, wanneer dit wordt gerechtvaardigd door een van de aldaar genoemde redenen, de verplichting tot het wissen of anoniem maken van de gegevens te beperken of te bepalen dat de gegevens moeten worden bewaard. In bepaalde situaties zou het Unierecht aldus het bewaren van de elektronischecommunicatiegegevens toestaan.

50

De verwijzende rechterlijke instantie vraagt zich niettemin af of een verplichting tot het algemeen en ongedifferentieerd bewaren van de elektronischecommunicatiegegevens, zoals die welke aan de orde is in het hoofdgeding, gelet op het arrest Digital Rights, verenigbaar is met artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest. Gelet op de uiteenlopende meningen van de partijen dienaangaande, zou het Hof ondubbelzinnig dienen te antwoorden op de vraag of, zoals Tele2 Sverige meent, het algemeen en ongedifferentieerd bewaren van de elektronischecommunicatiegegevens op zichzelf onverenigbaar is met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, dan wel of, zoals uit het rapport van 2014 zou blijken, de verenigbaarheid van een dergelijke bewaring van gegevens moet worden getoetst aan de bepalingen betreffende de toegang tot de gegevens, de bescherming en beveiliging van de gegevens en de duur van de bewaring ervan.

51

In die omstandigheden heeft verwijzende rechterlijke instantie de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:

‘1)

Is een algemene verplichting tot bewaring van gegevens die van toepassing is op alle personen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel, de bestrijding van ernstige criminaliteit, […], verenigbaar met artikel 15, lid 1, van richtlijn 2002/58, gelet op de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest?

2)

Indien de eerste vraag ontkennend wordt beantwoord, kan een dergelijke bewaringsverplichting dan niettemin zijn toegestaan:

a): indien de toegang van de nationale autoriteiten tot de bewaarde gegevens is geregeld op de wijze als beschreven in de punten 19-36 [van de verwijzingsbeslissing], en
b): indien de vereisten van bescherming en beveiliging van de gegevens zijn geregeld op de wijze als beschreven in de punten 38-43 [van de verwijzingsbeslissing], en
c): indien alle betrokken gegevens moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd alvorens te worden gewist, zoals is uiteengezet in punt 37 [van de verwijzingsbeslissing]?’

Zaak C-698/15

52

Watson, Brice en Lewis hebben, ieder afzonderlijk, bij de High Court of Justice of England and Wales, Queens' Bench Division (Divisional Court) (rechter in eerste aanleg in bestuurszaken, Engeland en Wales, Verenigd Koninkrijk), beroep in rechte ingesteld dat ertoe strekte de wettigheid van section 1 van de DRIPA te toetsen, en hebben in dat verband met name aangevoerd dat deze section onverenigbaar was met de artikelen 7 en 8 van het Handvest en met artikel 8 van het EVRM.

53

Bij arrest van 17 juli 2015 heeft de High Court of Justice of England and Wales, Queens' Bench Division (Divisional Court), vastgesteld dat in het arrest Digital Rights melding werd gemaakt van ‘dwingende vereisten van Unierecht’ die gelden voor de regelingen van de lidstaten op het gebied van bewaring van communicatiegegevens en van toegang tot dergelijke gegevens. Aangezien het Hof in dat arrest heeft geoordeeld dat richtlijn 2006/24 onverenigbaar was met het evenredigheidsbeginsel, zou volgens deze rechtspraak een nationale regeling met dezelfde inhoud als deze richtlijn evenmin met dit beginsel verenigbaar kunnen zijn. Volgens de aan het arrest Digital Rights ten grondslag liggende logica zou een wettelijke regeling waarbij een stelsel van algemene bewaring van communicatiegegevens wordt ingevoerd, de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten schenden, tenzij deze wettelijke regeling wordt aangevuld door een in het nationale recht opgezet stelsel van toegang tot de gegevens dat voldoende waarborgen biedt voor de bescherming van die rechten. Zo zou section 1 van de DRIPA niet verenigbaar zijn met de artikelen 7 en 8 van het Handvest voor zover het geen duidelijke en nauwkeurige regels bevat voor de toegang tot en het gebruik van de bewaarde gegevens of de toegang tot deze gegevens niet afhankelijk stelt van een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit.

54

De Secretary of State heeft tegen dit arrest hoger beroep ingesteld bij de Court of Appeal (England and Wales) (Civil Division) (rechter in tweede aanleg in burgerlijke zaken, Engeland en Wales, Verenigd Koninkrijk).

55

Deze rechterlijke instantie wijst erop dat section 1, lid 1, van de DRIPA de Secretary of State machtigt om, zonder voorafgaande toestemming van een rechterlijke instantie of van een onafhankelijke bestuurlijke entiteit, een algemene regeling vast te stellen die de openbare telecommunicatiebedrijven de verplichting oplegt om alle gegevens betreffende elke post- of telecommunicatiedienst maximaal twaalf maanden te bewaren, wanneer hij van mening is dat een dergelijke eis noodzakelijk en evenredig is voor het bereiken van de in de regeling van het Verenigd Koninkrijk genoemde doelstellingen. Ook al omvatten deze gegevens niet de inhoud van een communicatie, daarmee zou bijzonder ernstig worden binnengedrongen in de persoonlijke levenssfeer van de gebruikers van communicatiediensten.

56

In de verwijzingsbeslissing en in haar op het hoger beroep gewezen arrest van 20 november 2015 waarin zij heeft beslist het onderhavige verzoek om een prejudiciële beslissing aan het Hof voor te leggen, heeft de verwijzende rechterlijke instantie geoordeeld dat de nationale regels betreffende het bewaren van de gegevens zeker onder artikel 15, lid 1, van richtlijn 2002/58 vallen en dus moeten voldoen aan de eisen van het Handvest. Volgens artikel 1, lid 3, van deze richtlijn zou de Uniewetgever de regels betreffende de toegang tot de bewaarde gegevens echter niet hebben geharmoniseerd.

57

Wat de invloed van het arrest Digital Rights op de in het hoofdgeding gerezen vragen betreft, wijst de verwijzende rechterlijke instantie erop dat het Hof in de zaak die tot dit arrest heeft geleid, uitspraak diende te doen over de geldigheid van richtlijn 2006/24 en niet over de geldigheid van een nationale regeling. Met name gelet op het nauwe verband tussen de bewaring van de gegevens en de toegang tot deze gegevens, zou het absoluut noodzakelijk zijn geweest dat deze richtlijn gepaard ging met een aantal garanties, en dat in het arrest Digital Rights, bij het onderzoek van de wettigheid van het bij deze richtlijn ingevoerde stelsel van bewaring van gegevens, de regels betreffende de toegang tot die gegevens werden geanalyseerd. Het Hof zou dus niet van plan zijn geweest om in dat arrest dwingende eisen te formuleren voor de nationale regelingen betreffende de toegang tot de gegevens die geen Unierecht ten uitvoer brengen. Bovendien zou de redenering van het Hof nauw verband houden met het door deze richtlijn nagestreefde doel. Een nationale regeling zou echter moeten worden beoordeeld tegen de achtergrond van de doelstellingen en de context ervan.

58

Met betrekking tot de noodzaak om het Hof een verzoek om een prejudiciële beslissing voor te leggen, wijst de verwijzende rechterlijke instantie met name op het feit dat op de datum van de verwijzingsbeslissing zes rechterlijke instanties van andere lidstaten, waaronder vijf rechterlijke instanties in laatste aanleg, nationale wettelijke regelingen nietig hadden verklaard op basis van het arrest Digital Rights. Het antwoord op de gestelde vragen zou dus niet zonder meer duidelijk zijn en zou noodzakelijk zijn voor de afdoening van de bij deze rechterlijke instantie aanhangige zaken.

59

In die omstandigheden heeft de Court of Appeal (England and Wales) (Civil Division) de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:

‘1): Legt het arrest Digital Rights (waaronder met name de punten 60 tot en met 62 ervan) dwingende vereisten van Unierecht op die van toepassing zijn op de nationale regeling van een lidstaat inzake de toegang tot gegevens die overeenkomstig de nationale wettelijke regeling worden bewaard, teneinde te voldoen aan de artikelen 7 en 8 van het Handvest?
2): Verruimt het arrest Digital Rights de werkingssfeer van de artikelen 7 en/of 8 van het Handvest ten opzichte van die van artikel 8 van het EVRM, zoals vastgelegd in de rechtspraak van het Europees Hof voor de Rechten van de Mens?’

Procedure bij het Hof

60

Bij beschikking van 1 februari 2016, Davis e.a. (C-698/15, niet gepubliceerd, EU:C:2016:70), heeft de president van het Hof het verzoek van de Court of Appeal (England and Wales) (Civil Division) om zaak C-698/15 te behandelen volgens de versnelde procedure van artikel 105, lid 1, van het Reglement voor de procesvoering van het Hof toegewezen.

61

Bij beslissing van de president van het Hof van 10 maart 2016 zijn de zaken C-203/15 en C-698/15 gevoegd voor de mondelinge behandeling en het arrest.

Beantwoording van de prejudiciële vragen

Eerste vraag in zaak C-203/15

62

Met de eerste vraag in zaak C-203/15 wenst de Kammarrätt i Stockholm in wezen te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling als aan de orde in het hoofdgeding die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen.

63

Deze vraag vindt haar oorsprong met name in het feit dat richtlijn 2006/24, welke de in het hoofdgeding aan de orde zijnde nationale regeling in nationaal recht beoogde om te zetten, bij het arrest Digital Rights ongeldig is verklaard, maar dat de partijen van mening verschillen over de draagwijdte van dit arrest en over de invloed ervan op die regeling, die de bewaring van de verkeersgegevens en van de locatiegegevens en de toegang van de nationale autoriteiten tot die gegevens regelt.

64

Vooraf dient te worden onderzocht of een nationale regeling als aan de orde in het hoofdgeding binnen de werkingssfeer van het Unierecht valt.

Werkingssfeer van richtlijn 2002/58

65

De lidstaten die schriftelijke opmerkingen bij het Hof hebben ingediend, hebben uiteenlopende opvattingen geformuleerd over het antwoord op de vraag of, en in hoeverre ter bestrijding van criminaliteit vastgestelde nationale regelingen betreffende de bewaring van de verkeersgegevens en van de locatiegegevens en betreffende de toegang van de nationale autoriteiten tot die gegevens binnen de werkingssfeer van richtlijn 2002/58 vallen. Terwijl met name de Belgische, de Deense, de Duitse en de Estse regering, Ierland en de Nederlandse regering zich op het standpunt hebben gesteld dat die vraag bevestigend dient te worden beantwoord, heeft de Tsjechische regering voorgesteld, die vraag ontkennend te beantwoorden, en erop gewezen dat deze regelingen uitsluitend tot doel hebben criminaliteit te bestrijden. De regering van het Verenigd Koninkrijk heeft aangevoerd dat alleen de regelingen betreffende de bewaring van de gegevens en niet de regelingen betreffende de toegang van de nationale rechtshandhavingsautoriteiten tot die gegevens binnen de werkingssfeer van deze richtlijn vallen.

66

Ten slotte heeft de Commissie in haar bij het Hof ingediende schriftelijke opmerkingen in zaak C-203/15 weliswaar betoogd dat de in het hoofdgeding aan de orde zijnde nationale regeling binnen de werkingssfeer van richtlijn 2002/58 valt, maar heeft zij in haar ingediende schriftelijke opmerkingen in zaak C-698/15 gesteld dat alleen de nationale regels betreffende de bewaring van de gegevens en niet die betreffende de toegang van de nationale autoriteiten tot die gegevens binnen de werkingssfeer van deze richtlijn vallen. Laatstgenoemde regels zouden volgens haar echter in aanmerking moeten worden genomen om te beoordelen of een nationale regeling betreffende de bewaring van gegevens door de aanbieders van elektronischecommunicatiediensten een evenredige ingreep in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten vormt.

67

In dit verband dient erop te worden gewezen dat bij de beoordeling van de omvang van de werkingssfeer van richtlijn 2002/58 met name rekening moet worden gehouden met de algemene opzet van deze richtlijn.

68

Volgens artikel 1, lid 1, van richtlijn 2002/58 voorziet deze richtlijn met name in de harmonisatie van de nationale regelgeving die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen.

69

Volgens artikel 1, lid 3, van deze richtlijn zijn van de werkingssfeer van deze richtlijn uitgesloten de ‘activiteiten van de staat’ op de aldaar bedoelde gebieden, te weten met name de activiteiten van de staat op strafrechtelijk gebied en die welke verband houden met openbare veiligheid, defensie en staatsveiligheid, met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid (zie naar analogie, met betrekking tot artikel 3, lid 2, eerste streepje, van richtlijn 95/46, arresten van 6 november 2003, Lindqvist, C-101/01, EU:C:2003:596, punt 43, en 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, EU:C:2008:727, punt 41).

70

In artikel 3 van richtlijn 2002/58 staat dat deze richtlijn van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen (hierna: ‘elektronischecommunicatiediensten’). Bijgevolg moet worden geoordeeld dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt.

71

Artikel 15, lid 1, van richtlijn 2002/58 staat de lidstaten toe om, met inachtneming van de aldaar geformuleerde voorwaarden ‘wettelijke maatregelen [te] treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten’. In artikel 15, lid 1, tweede zin, van die richtlijn worden als voorbeeld van maatregelen die de lidstaten aldus kunnen treffen, genoemd de maatregelen ‘om gegevens […] te bewaren’.

72

De in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen betreffen specifieke activiteiten van de staten of van de overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punt 51). Bovendien blijken de doelstellingen die dergelijke maatregelen volgens die bepaling moeten nastreven, in het onderhavige geval het waarborgen van de nationale veiligheid, de landsverdediging en de openbare veiligheid en het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem, grotendeels overeen te stemmen met de doelstellingen van de in artikel 1, lid 3, van die richtlijn bedoelde activiteiten.

73

Gelet op de algemene opzet van richtlijn 2002/58, kan uit de in het voorgaande punt van het onderhavige arrest genoemde elementen echter niet worden afgeleid dat de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen van de werkingssfeer van deze richtlijn zijn uitgesloten, omdat daardoor aan deze bepaling elk nuttig effect zou worden ontnomen. Deze bepaling vooronderstelt immers noodzakelijkerwijze dat de aldaar bedoelde nationale maatregelen, zoals die betreffende de bewaring van gegevens ter bestrijding van criminaliteit, binnen de werkingssfeer van die richtlijn vallen, omdat in deze laatste uitdrukkelijk wordt bepaald dat de lidstaten die maatregelen slechts mogen treffen met inachtneming van de aldaar geformuleerde voorwaarden.

74

Bovendien regelen de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen de activiteit van de aanbieders van elektronischecommunicatiediensten voor de in die bepaling vermelde doeleinden. Artikel 15, lid 1, gelezen in samenhang met artikel 3 van die richtlijn, moet dus in die zin worden uitgelegd dat dergelijke wettelijke maatregelen binnen de werkingssfeer van die richtlijn vallen.

75

In het bijzonder een wettelijke maatregel als aan de orde in het hoofdgeding, die aan deze aanbieders de verplichting oplegt om de verkeersgegevens en de locatiegegevens te bewaren, valt dus binnen de werkingssfeer van deze richtlijn, omdat een dergelijke activiteit noodzakelijkerwijze inhoudt dat de aanbieders persoonsgegevens verwerken.

76

Binnen de werkingssfeer van de richtlijn valt ook een wettelijke maatregel als aan de orde in het hoofdgeding die betrekking heeft op de toegang van de nationale autoriteiten tot de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens.

77

De in artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van het vertrouwelijke karakter van de communicatie en van de daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten. Zoals in overweging 21 van die richtlijn wordt gezegd, beoogt deze richtlijn ‘elke’ onbevoegde ‘toegang’ tot de communicatie, daaronder begrepen de toegang tot de ‘gegevens over die communicatie’, te verhinderen teneinde het vertrouwelijke karakter van de elektronische communicaties te beschermen.

78

In die omstandigheden heeft een wettelijke maatregel waarbij een lidstaat op grond van artikel 15, lid 1, van richtlijn 2002/58, ter verwezenlijking van de in die bepaling vermelde doelstellingen, aan de aanbieders van elektronischecommunicatiediensten de verplichting oplegt om de nationale autoriteiten onder de in een dergelijke maatregel genoemde voorwaarden toegang te verlenen tot de door die aanbieders bewaarde gegevens, betrekking op de verwerking van persoonsgegevens door die aanbieders, en deze verwerking valt binnen de werkingssfeer van die richtlijn.

79

Aangezien de bewaring van gegevens uitsluitend gebeurt om de bevoegde nationale autoriteiten in voorkomend geval toegang te kunnen geven tot die gegevens, impliceert een nationale regeling die voorziet in de bewaring van gegevens bovendien in beginsel noodzakelijkerwijs bepalingen betreffende de toegang van de bevoegde nationale autoriteiten tot de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens.

80

Deze uitlegging vindt steun in artikel 15, lid 1 ter, van richtlijn 2002/58, volgens hetwelk de aanbieders op de grondslag van nationale bepalingen die overeenkomstig artikel 15, lid 1, van deze richtlijn zijn aangenomen, interne procedures opzetten voor de afhandeling van verzoeken om toegang tot de persoonsgegevens van de gebruikers.

81

Uit een en ander volgt dat een nationale regeling als aan de orde in het hoofdgeding in de zaken C-203/15 en C-698/15 binnen de werkingssfeer van richtlijn 2002/58 valt.

Uitlegging van artikel 15, lid 1, van richtlijn 2002/58 tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest

82

Opgemerkt dient te worden dat, volgens artikel 1, lid 2, van richtlijn 2002/58 de bepalingen van deze richtlijn ‘een specificatie van en een aanvulling op’ richtlijn 95/46 vormen. Zoals in overweging 2 van richtlijn 2002/58 wordt gezegd, beoogt deze richtlijn in het bijzonder de volledige eerbiediging van de in de artikelen 7 en 8 van het Handvest bedoelde rechten te waarborgen. Dienaangaande blijkt uit de memorie van toelichting bij het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie [COM(2000) 385 definitief], waaruit richtlijn 2002/58 is voortgekomen, dat de Uniewetgever heeft willen ‘zorgen voor een hoge mate van bescherming van de persoonsgegevens en van de persoonlijke levenssfeer voor alle elektronischecommunicatiediensten, ongeacht de gebruikte technologie’.

83

Daartoe bevat richtlijn 2002/58 specifieke bepalingen die, zoals met name uit de overwegingen 6 en 7 van deze richtlijn blijkt, de gebruikers van elektronischecommunicatiediensten beogen te beschermen tegen de gevaren die de nieuwe technologieën en de steeds grotere mogelijkheden van geautomatiseerde opslag en verwerking van gegevens voor de persoonsgegevens en de persoonlijke levenssfeer van die gebruikers meebrengen.

84

Artikel 5, lid 1, van deze richtlijn bepaalt met name dat de lidstaten via nationale wetgeving het vertrouwelijke karakter van de communicatie via openbare communicatienetwerken en via openbare elektronischecommunicatiediensten en van de daarmee verband houdende verkeersgegevens moeten garanderen.

85

Het bij richtlijn 2002/58 ingevoerde beginsel van vertrouwelijkheid van de communicatie impliceert onder meer, zoals uit artikel 5, lid 1, tweede zin, van deze richtlijn blijkt, een in beginsel voor alle andere personen dan de gebruikers geldend verbod op het zonder toestemming van de gebruikers opslaan van de verkeersgegevens betreffende de elektronische communicatie. Deze bepaling maakt slechts een uitzondering voor de personen die overeenkomstig artikel 15, lid 1, van deze richtlijn de wettelijke toelating hebben gekregen, en voor de technische opslag die nodig is voor het overbrengen van informatie (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punt 47).

86

Zoals ook uit de overwegingen 22 en 26 van richtlijn 2002/58 blijkt, is de verwerking en de opslag van de verkeersgegevens volgens artikel 6 van deze richtlijn slechts toegestaan voor zover en zolang dat nodig is voor de facturering van de diensten, voor de marketing van die diensten en voor de levering van diensten met toegevoegde waarde (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punten 47 en 48). Wat in het bijzonder de facturering van de diensten betreft, is een dergelijke verwerking slechts toegestaan tot aan het einde van de periode waarbinnen de rekening volgens de wet kan worden aangevochten of de betaling kan worden afgedwongen. Zodra die periode is verstreken, moeten de verwerkte en opgeslagen gegevens worden gewist of anoniem worden gemaakt. Wat de andere locatiegegevens dan de verkeersgegevens betreft, bepaalt artikel 9, lid 1, van deze richtlijn dat die gegevens slechts onder bepaalde voorwaarden mogen worden verwerkt nadat zij anoniem zijn gemaakt of wanneer de gebruikers of abonnees daarvoor hun toestemming hebben gegeven.

87

De draagwijdte van de bepalingen van de artikelen 5 en 6 en artikel 9, lid 1, van richtlijn 2002/58, die de vertrouwelijkheid van de communicaties en van de daarmee verband houdende gegevens beogen te waarborgen en het gevaar van misbruik zo laag mogelijk beogen te houden, moet bovendien worden beoordeeld tegen de achtergrond van overweging 30 van deze richtlijn, volgens welke ‘[s]ystemen voor elektronischecommunicatienetwerken en -diensten […] op dusdanige wijze [moeten] worden ontworpen dat het aantal persoonsgegevens tot het strikt noodzakelijke minimum wordt beperkt’.

88

Artikel 15, lid 1, van richtlijn 2002/58 staat de lidstaten weliswaar toe, te voorzien in uitzonderingen op de in artikel 5, lid 1, van deze richtlijn geformuleerde principeverplichting om de vertrouwelijkheid van de persoonsgegevens te waarborgen, en op de in de artikelen 6 en 9 van die richtlijn vermelde overeenkomstige verplichtingen (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punt 50).

89

Omdat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten toestaat, de draagwijdte van de principeverplichting tot waarborging van de vertrouwelijkheid van de communicatie en van de daarmee verband houdende gegevens te beperken, moet het volgens vaste rechtspraak van het Hof echter strikt worden uitgelegd (zie naar analogie arrest van 22 november 2012, Probst, C-119/12, EU:C:2012:748, punt 23). Een dergelijke bepaling kan dus niet rechtvaardigen dat de in artikel 5 van deze richtlijn bepaalde uitzondering op deze principeverplichting en, in het bijzonder, op het verbod om deze gegevens op te slaan de regel wordt, omdat laatstgenoemde bepaling in dat geval grotendeels haar inhoud zou verliezen.

90

In dit verband dient erop te worden gewezen dat artikel 15, lid 1, eerste zin, van richtlijn 2002/58 bepaalt dat de aldaar bedoelde wettelijke maatregelen die afwijken van het beginsel van vertrouwelijkheid van de communicaties en van de daarmee verband houdende verkeersgegevens, tot doel moeten hebben de ‘waarborging van de nationale [veiligheid], d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem’, of een van de andere doelen genoemd in artikel 13, lid 1, van richtlijn 95/46, waarnaar artikel 15, lid 1, eerste zin, van richtlijn 2002/58 verwijst (zie in die zin arrest van 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punt 53). Een dergelijke opsomming van doelstellingen is exhaustief, zoals blijkt uit artikel 15, lid 1, tweede zin, van deze richtlijn, volgens welke de wettelijke maatregelen moeten worden gerechtvaardigd door ‘de redenen’ die in artikel 15, lid 1, eerste zin, van die richtlijn ‘worden genoemd’. Bijgevolg mogen de lidstaten dergelijke maatregelen niet treffen voor andere doeleinden dan die welke in laatstgenoemde bepaling worden genoemd.

91

Bovendien wordt in artikel 15, lid 1, derde zin, van richtlijn 2002/58 bepaald dat ‘[a]lle in dit [artikel 15, lid 1,] bedoelde maatregelen in overeenstemming [dienen] te zijn met de algemene beginselen van het [Unierecht], met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [EU]’, waaronder de algemene beginselen en de grondrechten die thans worden gewaarborgd door het Handvest. Artikel 15, lid 1, van richtlijn 2002/58 moet aldus tegen de achtergrond van de door het Handvest gewaarborgde grondrechten worden uitgelegd (zie naar analogie, met betrekking tot richtlijn 95/46, arresten van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, EU:C:2003:294, punt 68; 13 mei 2014, Google Spain en Google, C-131/12, EU:C:2014:317, punt 68, en 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punt 38).

92

In dit verband dient te worden beklemtoond dat de bij een nationale regeling als aan de orde in het hoofdgeding aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting om de verkeersgegevens te bewaren teneinde de bevoegde nationale autoriteiten in voorkomend geval toegang tot die gegevens te kunnen geven, niet alleen vragen doet rijzen betreffende de eerbiediging van de artikelen 7 en 8 van het Handvest, die in de prejudiciële vragen uitdrukkelijk worden genoemd, maar ook betreffende de eerbiediging van de door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 25 en 70).

93

Aldus moet zowel het belang van het door artikel 7 van het Handvest gewaarborgde recht op bescherming van het privéleven als dat van het door artikel 8 van het Handvest gewaarborgde recht op bescherming van de persoonsgegevens, zoals dat blijkt uit de rechtspraak van het Hof (zie in die zin arrest van 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punt 39 en aldaar aangehaalde rechtspraak), in aanmerking worden genomen bij de uitlegging van artikel 15, lid 1, van richtlijn 2002/58. Hetzelfde geldt voor het recht op vrijheid van meningsuiting, gelet op het belang van deze vrijheid in een democratische samenleving. Dit in artikel 11 van het Handvest gewaarborgde grondrecht is een van de wezenlijke grondslagen van een democratische en pluralistische samenleving, die behoort tot de waarden waarop de Unie overeenkomstig artikel 2 VEU is gebaseerd (zie in die zin arresten van 12 juni 2003, Schmidberger, C-112/00, EU:C:2003:333, punt 79, en 6 september 2011, Patriciello, C-163/10, EU:C:2011:543, punt 31).

94

In dit verband dient eraan te worden herinnerd dat volgens artikel 52, lid 1, van het Handvest beperkingen op de uitoefening van daarin erkende rechten en vrijheden bij wet moeten worden gesteld en de wezenlijke inhoud daarvan moeten eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen slechts beperkingen op de uitoefening van die rechten en vrijheden worden gesteld indien deze noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen (arrest van 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punt 50).

95

Wat dit laatste betreft, wordt in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 bepaald dat de lidstaten een maatregel waarbij wordt afgeweken van het beginsel van vertrouwelijkheid van de communicatie en van de daarmee verband houdende verkeersgegevens, kunnen treffen wanneer een dergelijke maatregel ‘in een democratische samenleving noodzakelijk, redelijk en proportioneel is’ in het licht van de in die bepalingen genoemde doelstellingen. In overweging 11 van deze richtlijn wordt gepreciseerd dat een dergelijke maatregel ‘strikt’ evenredig moet zijn met het nagestreefde doel. Wat in het bijzonder de bewaring van gegevens betreft, eist artikel 15, lid 1, tweede zin, van deze richtlijn dat deze gegevens slechts ‘gedurende een beperkte periode’ worden bewaard ‘om de redenen’ die in artikel 15, lid 1, eerste zin, van die richtlijn worden genoemd.

96

De eerbiediging van het evenredigheidsbeginsel vloeit ook voort uit de vaste rechtspraak van het Hof volgens welke de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie vereist dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen daarvan binnen de grenzen van het strikt noodzakelijke blijven (arresten van 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, EU:C:2008:727, punt 56 en 9 november 2010, Volker und Markus Schecke en Eifert, C-92/09 en C-93/09, EU:C:2010:662, punt 77; arrest Digital Rights, punt 52, en arrest van 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punt 92).

97

Met betrekking tot de vraag of een regeling als aan de orde in zaak C-203/15 aan deze voorwaarden voldoet, dient erop te worden gewezen dat deze regeling voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen, en de aanbieders van elektronischecommunicatiediensten verplicht deze gegevens stelselmatig en voortdurend te bewaren zonder enige uitzondering. Zoals uit de verwijzingsbeslissing blijkt, komen de categorieën van gegevens waarop deze regeling ziet, grotendeels overeen met die waarvan richtlijn 2006/24 de bewaring voorschrijft.

98

Aan de hand van de gegevens die de aanbieders van elektronischecommunicatiediensten aldus moeten bewaren, kunnen de bron en de bestemming van een communicatie worden opgespoord en geïdentificeerd en kunnen de datum, het tijdstip, de duur en de aard van de communicatie, de communicatieapparatuur van de gebruikers en de locatie van de mobiele communicatieapparatuur worden bepaald. Die gegevens omvatten onder meer de naam en het adres van de abonnee of van de geregistreerde gebruiker, het telefoonnummer van de oproeper en het opgeroepen nummer en een IP-adres voor de internetdiensten. Aan de hand van deze gegevens kan in het bijzonder worden nagegaan met welke persoon en met welk middel een abonnee of geregistreerde gebruiker heeft gecommuniceerd, hoe lang de communicatie heeft geduurd en vanaf welke plaats zij heeft plaatsgevonden. Bovendien kan aan de hand van deze gegevens worden achterhaald hoe vaak de abonnee of de geregistreerde gebruiker gedurende een bepaalde periode met bepaalde personen heeft gecommuniceerd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 26).

99

Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 27). Zoals de advocaat-generaal in de punten 253, 254 en 257 tot en met 259 heeft opgemerkt, kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die, wat het recht op bescherming van het privéleven betreft, even gevoelig is als de inhoud zelf van de communicaties.

100

De ingreep die een dergelijke regeling in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten verricht, is groot en moet als bijzonder ernstig worden beschouwd. De omstandigheid dat de gegevens worden bewaard zonder dat de gebruikers van de elektronischecommunicatiediensten hierover worden ingelicht, kan bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 37).

101

Ook al staat een dergelijke regeling niet toe om de inhoud van een communicatie te bewaren, en maakt zij dus geen inbreuk op de wezenlijke inhoud van die rechten (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 39), toch kan de bewaring van de verkeersgegevens en van de locatiegegevens invloed hebben op het gebruik van de elektronischecommunicatiemiddelen en dus op de wijze waarop de gebruikers van deze communicatiemiddelen van hun in artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting gebruikmaken (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 28).

102

Gelet op de ernst van de ingreep in de betrokken grondrechten door een nationale regeling die ter bestrijding van criminaliteit voorziet in de bewaring van verkeersgegevens en van locatiegegevens, kan alleen de bestrijding van ernstige criminaliteit een dergelijke maatregel rechtvaardigen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 60).

103

Daarbij komt dat de doeltreffendheid van de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoekstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en alle locatiegegevens, noodzakelijk wordt geacht voor het voeren van deze strijd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 51).

104

In dit verband dient enerzijds erop te worden gewezen dat een dergelijke regeling, gelet op de in punt 97 van het onderhavige arrest beschreven kenmerken ervan, tot gevolg heeft dat de bewaring van de verkeersgegevens en van de locatiegegevens de regel is, terwijl het bij richtlijn 2002/58 ingevoerde stelsel eist dat deze bewaring van gegevens de uitzondering vormt.

105

Anderzijds voorziet een nationale regeling als aan de orde in het hoofdgeding, die algemeen geldt voor alle abonnees en geregistreerde gebruikers en ziet op alle elektronischecommunicatiemiddelen en op alle verkeersgegevens, in geen enkele differentiatie, beperking of uitzondering naargelang van het nagestreefde doel. Zij heeft algemeen betrekking op alle personen die gebruikmaken van elektronischecommunicatiediensten zonder dat deze personen zich, al was het maar indirect, in een situatie bevinden die aanleiding kan geven tot strafvervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag — zelfs maar indirect of van ver — verband houdt met ernstige strafbare feiten. Bovendien bevat zij geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de communicaties naar nationaal recht onder het beroepsgeheim vallen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 57 en 58).

106

Een dergelijke regeling eist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkt de bewaring met name niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaald geografisch gebied en/of een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit, of op personen van wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij de bestrijding van criminaliteit (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 59).

107

Een nationale regeling als aan de orde in het hoofdgeding gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, eist.

108

Artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, staat daarentegen niet eraan in de weg dat een lidstaat een regeling vaststelt op grond waarvan de verkeersgegevens en de locatiegegevens ter bestrijding van zware criminaliteit preventief gericht kunnen worden bewaard, op voorwaarde dat de bewaring van die gegevens, hetzij wat de categorieën van te bewaren gegevens betreft, hetzij wat de betrokken communicatiemiddelen, personen en duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt.

109

Om aan de in het vorige punt van het onderhavige arrest genoemde eisen te voldoen, moet deze nationale regeling in de eerste plaats duidelijke en nauwkeurige regels voor de draagwijdte en de toepassing van een dergelijke maatregel van bewaring van gegevens bevatten en een minimum aan eisen stellen, zodat de personen wier gegevens zijn bewaard, voldoende garanties hebben dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik. Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel van bewaring van gegevens preventief kan worden genomen, en aldus waarborgen dat een dergelijke maatregel tot het strikt noodzakelijke wordt beperkt (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 54 en aldaar aangehaalde rechtspraak).

110

In de tweede plaats dient — wat de materiële voorwaarden betreft waaraan een nationale regeling op grond waarvan de verkeersgegevens en de locatiegegevens preventief kunnen worden bewaard ter bestrijding van criminaliteit, moet voldoen om te waarborgen dat zij tot het strikt noodzakelijke is beperkt — erop te worden gewezen dat dergelijke voorwaarden weliswaar kunnen verschillen naargelang van de maatregelen die voor het voorkomen, onderzoeken, opsporen en vervolgen van zware criminaliteit worden getroffen, maar dat de bewaring van de gegevens niettemin steeds moet voldoen aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel. In het bijzonder moeten dergelijke voorwaarden in de praktijk van dien aard blijken te zijn dat zij de omvang van de maatregel, en dus de kring van betrokken personen, daadwerkelijk afbakenen.

111

Wat de afbakening van een dergelijke maatregel ter zake van de personen en situaties betreft die onder die maatregel kunnen vallen, moet de nationale regeling worden gebaseerd op objectieve elementen waarmee kan worden gemikt op een groep mensen wier gegevens, althans indirect, een band met handelingen van zware criminaliteit aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid kan worden voorkomen. Een dergelijke afbakening kan aan de hand van een geografisch criterium worden verricht wanneer de bevoegde nationale autoriteiten op basis van objectieve elementen van mening zijn dat er in een of meer geografische gebieden een hoog risico bestaat dat dergelijke handelingen worden voorbereid of gepleegd.

112

Gelet op een en ander dient op de eerste vraag in zaak C-203/15 te worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen.

Tweede vraag in zaak C-203/15 en eerste vraag in zaak C-698/15

113

Om te beginnen dient erop te worden gewezen dat de Kammarrätt i Stockholm de tweede vraag in zaak C-203/15 slechts heeft gesteld voor het geval dat de eerste vraag in die zaak ontkennend wordt beantwoord. Deze tweede vraag staat echter los van de algemene of gerichte aard van bewaring van de gegevens, in de betekenis die daaraan in de punten 108 tot en met 111 van het onderhavige arrest is gegeven. Bijgevolg dienen de tweede vraag in zaak C-203/15 en de eerste vraag in zaak C-698/15, die los van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens is gesteld, samen te worden beantwoord.

114

Met de tweede vraag in zaak C-203/15 en de eerste vraag in zaak C-698/15 wensen de verwijzende rechterlijke instanties in wezen te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en de locatiegegevens en, in het bijzonder, de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard.

115

Met betrekking tot de doelstellingen die een rechtvaardiging kunnen vormen voor een nationale regeling die een uitzondering maakt op het beginsel van de vertrouwelijkheid van de elektronische communicatie, dient eraan te worden herinnerd dat, aangezien de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 gegeven opsomming van de doelstellingen exhaustief is, zoals in de punten 90 en 102 van het onderhavige arrest is vastgesteld, de toegang tot de bewaarde gegevens daadwerkelijk en strikt op een van die doelstellingen moet berusten. Daarbij komt dat, aangezien het met deze regeling nagestreefde doel in verhouding moet staan tot de ernst van de ingreep in de grondrechten die deze toegang meebrengt, ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten alleen de bestrijding van zware criminaliteit een dergelijke toegang tot de bewaarde gegevens kan rechtvaardigen.

116

Wat de eerbiediging van het evenredigheidsbeginsel betreft, moet een nationale regeling betreffende de voorwaarden waaronder de aanbieders van elektronischecommunicatiediensten aan de bevoegde nationale autoriteiten toegang tot de bewaarde gegevens moeten verlenen, waarborgen dat, overeenkomstig hetgeen in de punten 95 en 96 van het onderhavige arrest is vastgesteld, een dergelijke toegang niet verder gaat dan strikt noodzakelijk is.

117

Daarbij komt dat, aangezien de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen overeenkomstig overweging 11 van deze richtlijn ‘adequate waarborgen [moeten] bevatten’, een dergelijke maatregel volgens de in punt 109 van het onderhavige arrest aangehaalde rechtspraak duidelijke en nauwkeurige regels moet bevatten over de omstandigheden waarin en de voorwaarden waaronder de aanbieders van elektronischecommunicatiediensten aan de bevoegde nationale autoriteiten toegang tot de gegevens moeten verlenen. Een maatregel van een dergelijke aard moet ook wettelijk verbindend zijn naar intern recht.

118

Om te waarborgen dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet verder gaat dan strikt noodzakelijk is, dient in het nationale recht in elk geval te worden bepaald onder welke voorwaarden de aanbieders van elektronischecommunicatiediensten een dergelijke toegang moeten verlenen. De betrokken nationale regeling mag zich echter niet ertoe beperken, te eisen dat de toegang wordt verleend voor een van de in artikel 15, lid 1, van richtlijn 2002/58 genoemde doelstellingen, zelfs indien dit de bestrijding van zware criminaliteit zou zijn. Een dergelijke nationale regeling moet immers ook de materiële en procedurele voorwaarden voor de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens bepalen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 61).

119

Aangezien een algemene toegang tot alle bewaarde gegevens los van enig — zelfs ook maar indirect — verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, moet de betrokken nationale regeling dus aan de hand van objectieve criteria bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens van de abonnees of de geregistreerde gebruikers moet worden verleend. In dit verband kan in beginsel voor het doel van bestrijding van criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf (zie naar analogie EHRM, 4 december 2015, Zakharov tegen Rusland, CE:ECHR:2015:1204JUD004714306, § 260). In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren.

120

Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel, behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid, wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van deze autoriteiten dat met name is ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 62; zie ook naar analogie, met betrekking tot artikel 8 EVRM, EHRM, 12 januari 2016, Szabó en Vissy tegen Hongarije, CE:ECHR:2016:0112JUD003713814, §§ 77 en 80).

121

Verder is het van belang dat de bevoegde nationale autoriteiten waaraan toegang tot de bewaarde gegevens is verleend, in het kader van de toepasselijke nationale procedures de betrokken personen daarvan op de hoogte brengen wanneer zulks de door deze autoriteiten gevoerde onderzoeken niet in gevaar kan brengen. Dit is immers noodzakelijk om de betrokken personen in staat te stellen om, in geval van schending van hun rechten, met name gebruik te maken van het recht van beroep, waarin artikel 15, lid 2, van richtlijn 2002/58, gelezen in samenhang met artikel 22 van richtlijn 95/46, uitdrukkelijk voorziet (zie naar analogie arresten van 7 mei 2009, Rijkeboer, C-553/07, EU:C:2009:293, punt 52, en 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punt 95).

122

Wat de regels betreffende de beveiliging en de bescherming van de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens betreft, staat vast dat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten niet toestaat om af te wijken van artikel 4, lid 1, en artikel 4, lid 1 bis, van deze richtlijn. Laatstgenoemde bepalingen eisen immers dat deze aanbieders passende technische en organisatorische maatregelen treffen om de bewaarde gegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige toegang tot deze gegevens. Gelet op de hoeveelheid bewaarde gegevens, op het gevoelige karakter van deze gegevens en op het risico van onrechtmatige toegang tot deze gegevens, moeten de aanbieders van elektronischecommunicatiediensten, om de volle integriteit en vertrouwelijkheid van die gegevens te verzekeren, door middel van passende technische en organisatorische maatregelen een bijzonder hoog niveau van bescherming en beveiliging waarborgen. In het bijzonder moet de nationale regeling bepalen dat de gegevens op het grondgebied van de Unie worden bewaard en na afloop van de bewaarperiode onherstelbaar worden vernietigd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 66–68).

123

In elk geval moeten de lidstaten waarborgen dat een onafhankelijke autoriteit toeziet op de inachtneming van het hoge niveau van bescherming dat wordt gewaarborgd door het Unierecht betreffende de bescherming van natuurlijke personen ter zake van de verwerking van hun persoonsgegevens, daar een dergelijk toezicht uitdrukkelijk wordt geëist door artikel 8, lid 3, van het Handvest en volgens vaste rechtspraak van het Hof een wezenlijk element van de bescherming van personen ter zake van de verwerking van hun persoonsgegevens vormt. Indien dit anders zou zijn, zou aan de personen van wie de persoonsgegevens zijn bewaard, het door artikel 8, leden 1 en 3, van het Handvest gewaarborgde recht worden ontnomen om zich ter bescherming van hun grondrechten tot de nationale toezichthoudende autoriteiten te wenden (zie in die zin arrest Digital Rights, punt 68, en arrest van 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punten 41 en 58).

124

Het staat aan de verwijzende rechterlijke instanties, na te gaan of en in welke mate de in het hoofdgeding aan de orde zijnde nationale regelingen, zowel ter zake van de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens als ter zake van de bescherming en het niveau van beveiliging van deze gegevens, voldoen aan de eisen die voortvloeien uit artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zoals die in de punten 115 tot en met 123 van het onderhavige arrest nader zijn uiteengezet.

125

Gelet op een en ander dient op de tweede vraag in zaak C-203/15 en de eerste vraag in zaak C-698/15 te worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en van de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard.

Tweede vraag in zaak C-698/15

126

Met zijn tweede vraag in zaak C-698/15 wenst de Court of Appeal (England and Wales) (Civil Division) in wezen te vernemen of het Hof in het arrest Digital Rights de artikelen 7 en/of 8 van het Handvest heeft uitgelegd in een zin die verder gaat dan de uitlegging die het Europees Hof voor de Rechten van de Mens van artikel 8 EVRM heeft gegeven.

127

Om te beginnen dient eraan te worden herinnerd dat hoewel, zoals in artikel 6, lid 3, VEU wordt bepaald, de grondrechten zoals zij worden gewaarborgd door het EVRM als algemene beginselen deel uitmaken van het Unierecht, het EVRM, zolang de Unie er geen partij bij is, geen formeel in de rechtsorde van de Unie opgenomen rechtsinstrument is (zie in die zin arrest van 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punt 45 en aldaar aangehaalde rechtspraak).

128

De in het onderhavige geval aan de orde zijnde richtlijn 2002/58 moet dus uitsluitend tegen de achtergrond van de door het Handvest gewaarborgde grondrechten worden uitgelegd (zie in die zin arrest van 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punt 46 en aldaar aangehaalde rechtspraak).

129

Verder dient eraan te worden herinnerd dat volgens de toelichtingen bij artikel 52 van het Handvest artikel 52, lid 3, ervan beoogt te zorgen voor de nodige samenhang tussen het Handvest en het EVRM, ‘zonder dat dit […] de autonomie van het recht van de Unie of van het Hof van Justitie van de Europese Unie aantast’ (arrest van 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punt 47). In het bijzonder verhindert artikel 52, lid 3, eerste zin, van het Handvest — zoals in artikel 52, lid 3, tweede zin, daarvan uitdrukkelijk wordt bepaald — niet dat het Unierecht een ruimere bescherming biedt dan het EVRM. Daarbij komt, ten slotte, dat artikel 8 van het Handvest betrekking heeft op een ander grondrecht dan het in artikel 7 van het Handvest geformuleerde grondrecht, dat geen equivalent heeft in het EVRM.

130

Volgens vaste rechtspraak van het Hof is de rechtvaardiging van een verzoek om een prejudiciële beslissing echter niet gelegen in het formuleren van rechtsgeleerde adviezen over algemene of hypothetische vraagstukken, maar in de behoefte aan de werkelijke beslechting van een geschil dat verband houdt met het Unierecht (zie in die zin arresten van 24 april 2012, Kamberaj, C-571/10, EU:C:2012:233, punt 41; 26 februari 2013, Åkerberg Fransson, C-617/10, punt 42, en 27 februari 2014, PohotovosÅ\¥, C-470/12, punt 29).

131

Gelet op de met name in de punten 128 en 129 van het onderhavige arrest geformuleerde overwegingen, kan het antwoord op de vraag of de door de artikelen 7 en 8 van het Handvest verleende bescherming verder gaat dan de door artikel 8 EVRM verleende bescherming, in het onderhavige geval geen invloed hebben op de uitlegging — tegen de achtergrond van het Handvest — van richtlijn 2002/58, die aan de orde is in het hoofdgeding in zaak C-698/15.

132

Aldus kan een antwoord op de tweede vraag in zaak C-698/15 geen elementen van uitlegging van het Unierecht aandragen die noodzakelijk zijn voor de beslechting van dat geding uit het oogpunt van het Unierecht.

133

Bijgevolg is de tweede vraag in zaak C-698/15 niet-ontvankelijk.

Kosten

134

Ten aanzien van de partijen in de hoofdgedingen is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instanties over de kosten hebben te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, moet in die zin worden uitgelegd dat het zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen.Artikel 15, lid 1, van richtlijn 2002/58, zoals gewijzigd bij richtlijn 2009/136, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, moet in die zin worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard.De tweede vraag van de Court of Appeal (England and Wales) (Civil Division) (rechter in tweede aanleg in burgerlijke zaken, Engeland en Wales, Verenigd Koninkrijk) is niet-ontvankelijk.

Toon alle voetnoten

Voetnoten

Voetnoten Uitspraak 21‑12‑2016

Procestalen: Zweeds en Engels.

Conclusie 19‑07‑2016

H. Saugmandsgaard Øe

Partij(en)

Gevoegde zaken C-203/15 en C-698/151.

Tele2 Sverige AB

tegen

Post- och telestyrelsen (C-203/15)

Secretary of State for the Home Department

tegen

Tom Watson,

Peter Brice,

Geoffrey Lewis (C-698/15)

in aanwezigheid van

Open Rights Group,

Privacy International,

Law Society of England and Wales

[verzoeken van Kammarrätten i Stockholm (hogerberoepsrechter in bestuurszaken, Stockholm, Zweden) en de Court of Appeal (England & Wales) (Civil Division) [hogerberoepsrechter (Engeland & Wales) in civiele zaken] om een prejudiciële beslissing]

Inhoud

I —

Inleiding

II —

Toepasselijke bepalingen

A —

Richtlijn 2002/58

B —

Zweeds recht

1.

Omvang van de bewaringsverplichting

2.

Toegang tot bewaarde gegevens

a): De LEK
b): De RB
c): Wet 2012:278

3.

Bewaringstermijn

4.

Bescherming en beveiliging van bewaarde gegevens

C —

Recht van het Verenigd Koninkrijk

1.: Omvang van de bewaringsverplichting
2.: Toegang tot bewaarde gegevens
3.: Bewaringstermijn
4.: Bescherming en beveiliging van bewaarde gegevens

III —

Hoofdgedingen en prejudiciële vragen

A —: Zaak C-203/15
B —: Zaak C-698/15

IV —

Procedure bij het Hof

V —

Analyse van de prejudiciële vragen

A —

Ontvankelijkheid van de tweede vraag in zaak C-698/15

B —

Verenigbaarheid van een algemene verplichting tot bewaring van gegevens met de regeling van richtlijn 2002/58

1.: Valt een algemene verplichting tot bewaring van gegevens binnen de werkingssfeer van richtlijn 2002/58?
2.: Mogelijkheid om af te wijken van de regeling van richtlijn 2002/58 door de invoering van een algemene verplichting tot bewaring van gegevens

C —

Toepasbaarheid van het Handvest op een algemene verplichting tot bewaring van gegevens

D —

Verenigbaarheid van een algemene verplichting tot bewaring van gegevens met de door artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest gestelde vereisten

1.

Vereiste van een wettelijke grondslag in het nationale recht

2.

Eerbiediging van de wezenlijke inhoud van de door de artikelen 7 en 8 van het Handvest erkende rechten

3.

Bestaan van een door de Unie erkende doelstelling van algemeen belang die een algemene verplichting tot bewaring van gegevens kan rechtvaardigen.

4.

Redelijkheid, noodzakelijkheid en evenredigheid van een algemene verplichting tot bewaring van gegevens in het licht van de bestrijding van ernstige criminaliteit

5.

Noodzakelijkheid van een algemene verplichting tot bewaring van gegevens voor de bestrijding van ernstige criminaliteit

a): Strikte noodzakelijkheid van een algemene verplichting tot bewaring van gegevens
b): Dwingend karakter van de door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen in het licht van het vereiste van strikte noodzakelijkheid

6.

Evenredigheid, in een democratische samenleving, van een algemene verplichting tot bewaring van gegevens in het licht van de doelstelling van bestrijding van ernstige criminaliteit.

VI —

Conclusie

I — Inleiding

1.

In 1788 schreef James Madison, een van de auteurs van de Grondwet van de Verenigde Staten: ‘If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary. In framing a government which is to be administered by men over men, the great difficulty lies in this: you must first enable the government to control the governed, and in the next place oblige it to control itself’.2.

2.

De onderhavige zaken voeren ons tot de kern van de door Madison onderscheiden ‘grote moeilijkheid’. Zij betreffen de verenigbaarheid met het Unierecht van nationale regelingen die aanbieders van voor het publiek toegankelijke elektronischecommunicatiediensten (hierna: ‘aanbieders’) verplichten tot bewaring van gegevens over elektronische communicaties (hierna: ‘communicatiegegevens’), welke verplichting geldt voor alle communicatiemiddelen en alle gebruikers (hierna: ‘algemene verplichting tot bewaring van gegevens’).

3.

Enerzijds stelt de bewaring van communicatiegegevens de overheid in staat ‘haar burgers te controleren’, door de bevoegde autoriteiten een onderzoeksmiddel te bieden dat van zeker nut kan zijn bij de bestrijding van zware criminaliteit, en met name bij de bestrijding van terrorisme. In feite verschaft de bewaring van die gegevens de autoriteiten een beperkt vermogen om het ‘verleden te lezen’, doordat zij gegevens kunnen inzien over de communicaties die een persoon heeft gevoerd nog voordat hij ervan werd verdacht betrokken te zijn bij een ernstig strafbaar feit.3.

4.

Anderzijds is het echter absoluut noodzakelijk om de overheid ‘te verplichten zichzelf te controleren’, zowel wat de bewaring van gegevens als de toegang daartoe betreft, gelet op de ernstige risico's die het bestaan van databestanden waarin alle op het nationale grondgebied gevoerde communicaties worden bewaard met zich brengt. Deze enorme databestanden stellen eenieder die er toegang toe heeft immers in staat een hele relevante bevolkingsgroep onmiddellijk te categoriseren.4. Die risico's moeten nauwkeurig worden beoordeeld, met name door te onderzoeken of een algemene verplichting tot bewaring van gegevens, als in de hoofdgedingen aan de orde, strikt noodzakelijk en evenredig is.

5.

In het kader van de onderhavige zaken wordt het Hof en de verwijzende rechters derhalve verzocht om een evenwicht vast te stellen tussen de verplichting van de lidstaten om de veiligheid te waarborgen van de personen die zich op hun grondgebied bevinden, en de door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: ‘Handvest’) erkende grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens.

6.

Ik zal de in de onderhavige zaken aan het Hof gestelde vragen onderzoeken in het licht van die ‘grote moeilijkheid’. Die vragen betreffen in concreto de verenigbaarheid van nationale regelingen waarin een algemene verplichting tot bewaring van gegevens is opgenomen, met richtlijn 2002/58/EG5. en met de artikelen 7 en 8 van het Handvest. Met het oog op de beantwoording van die vragen dient het Hof met name te verduidelijken welke uitlegging er in een nationale context moet worden gegeven aan het arrest Digital Rights Ireland e.a. (hierna: ‘arrest DRI’)6., waarin de Grote kamer van het Hof richtlijn 2006/24/EG7. ongeldig heeft verklaard.

7.

Om de redenen die ik hierna zal uiteenzetten, ben ik van mening dat een door een lidstaat opgelegde algemene verplichting tot bewaring van gegevens verenigbaar kan zijn met de door het Unierecht erkende grondrechten, mits strikt omgeven door een serie waarborgen die ik in de loop van mijn betoog zal aangeven.

II — Toepasselijke bepalingen

A — Richtlijn 2002/58

8.

Artikel 1 van richtlijn 2002/58, ‘Onderwerp en werkingssfeer’, bepaalt:

‘1.: Deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en -diensten in de [Europese Unie].
2.: Voor de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op richtlijn [95/46]. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn.
3.: Deze richtlijn is niet van toepassing op activiteiten die niet onder het [VWEU] vallen, zoals die bedoeld in de titels V en VI van het [VEU], en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied.’

9.

Artikel 15, lid 1, van richtlijn 2002/58, ‘Toepassing van een aantal bepalingen van richtlijn [95/46]’, luidt als volgt:

‘De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46/EG. Daartoe kunnen de lidstaten onder andere wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [VEU].’

B — Zweeds recht

10.

Richtlijn 2006/24, die inmiddels ongeldig is verklaard, is in Zweeds recht omgezet door wijziging van de lagen (2003:389) om elektronisk kommunikation (wet 2003:389 betreffende elektronische communicatie; hierna: ‘LEK’) en van de förordningen (2003:396) om elektronisk kommunikation (verordening 2003:396 betreffende elektronische communicatie; hierna: ‘FEK’), beide in werking getreden op 1 mei 2012.

1. Omvang van de bewaringsverplichting

11.

Volgens hoofdstuk 6, § 16 a, LEK zijn aanbieders verplicht de communicatiegegevens te bewaren die nodig zijn voor het identificeren van de bron en de bestemming van een communicatie, het bepalen van de datum, het tijdstip, de duur en de aard van een communicatie, de gebruikte communicatieapparatuur en de locatie van mobiele communicatieapparatuur bij de aanvang en de beëindiging van de communicatie. Welke soorten gegevens bewaard moeten worden is nader uitgewerkt in de §§ 38–43 LEK.

12.

Die bewaringsverplichting betreft gegevens die zijn verwerkt in het kader van telefoondiensten, telefoondiensten via mobiele aansluitingspunten, systemen voor elektronisch berichtenverkeer, en diensten die toegang tot het internet verschaffen of capaciteit voor internettoegang ter beschikking stellen.

13.

De te bewaren gegevens omvatten niet slechts alle gegevens die in het kader van richtlijn 2006/24 moesten worden bewaard, maar ook gegevens over niet tot stand gekomen communicaties en gegevens over de locatie bij de beëindiging van een communicatie via mobiele telefonie. Overeenkomstig de regeling die in die richtlijn was voorzien mag de inhoud van de communicaties niet worden bewaard.

2. Toegang tot bewaarde gegevens

14.

De toegang tot bewaarde gegevens is geregeld in drie wetten, te weten de LEK, de Rättegångsbalken (wetboek van burgerlijke rechtsvordering; hierna: ‘RB’), en de lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (wet 2012:278 betreffende de verzameling van gegevens over elektronische communicaties bij de opsporingsactiviteiten van handhavingsautoriteiten; hierna: ‘wet 2012:278’).

a) De LEK

15.

Volgens hoofdstuk 6, § 22, eerste alinea, punt 2, LEK moet iedere aanbieder desgevraagd abonnementsgegevens verstrekken aan het openbaar ministerie, de politie, de Säkerhetspolisen (Zweedse inlichtingendienst; hierna: ‘Säpo’) of iedere andere strafrechtelijke autoriteit, indien die gegevens verband houden met de verdenking van een strafbaar feit. Volgens die bepaling hoeft er geen sprake te zijn van een ernstig strafbaar feit.

16.

Met abonnementsgegevens worden met name bedoeld de naam, de aanspreektitel, het postadres, het telefoonnummer en het IP-adres van de abonnee.

17.

De verstrekking van abonnementsgegevens op grond van de LEK is niet onderworpen aan een voorafgaande toetsing, maar kan achteraf administratief worden getoetst. Voorts is er geen beperking gesteld aan het aantal autoriteiten dat toegang kan krijgen tot de gegevens.

b) De RB

18.

De RB regelt de controle van elektronische communicaties in het kader van opsporingsonderzoeken.

19.

De controle van elektronische communicaties kan in wezen slechts worden bevolen wanneer er een redelijke verdenking bestaat dat een bepaalde persoon een strafbaar feit heeft gepleegd waarop ten minste zes maanden gevangenisstraf staat, of een van de andere specifiek opgesomde strafbare feiten, indien die maatregel bijzonder noodzakelijk is voor het onderzoek.

20.

Daarnaast kan tot een dergelijke controle worden overgegaan om in het kader van het onderzoek van een strafbaar feit waarop ten minste twee jaar gevangenisstraf staat, vast te kunnen stellen wie de vermoedelijke dader ervan is, indien die maatregel bijzonder noodzakelijk is voor het onderzoek.

21.

Ingevolge hoofdstuk 27, § 21, RB moet het openbaar ministerie in de regel vooraf toestemming krijgen van de bevoegde rechter voor het controleren van elektronische communicaties.

22.

Indien echter het verkrijgen van rechterlijke toestemming voorafgaand aan de controle op elektronische communicaties — terwijl die maatregel voor het onderzoek dringend noodzakelijk is — onverenigbaar lijkt met de spoed die de uitvoering ervan vereist of een belemmering ervoor vormt, wordt de toestemming, in afwachting van de beslissing van de bevoegde rechter, verleend door het openbaar ministerie, dat de bevoegde rechter daarvan onverwijld schriftelijk in kennis stelt. De bevoegde rechter moet vervolgens ten spoedigste onderzoeken of de maatregel gerechtvaardigd is.

c) Wet 2012:278

23.

In het kader van het opsporingsonderzoek en krachtens § 1 van wet 2012:278 kunnen de nationale politie, de Säpo en het Tullverket (Zweedse douane), onder de door die wet gestelde voorwaarden, bij de aanbieder communicatiegegevens verzamelen.

24.

Volgens §§ 2 en 3 van wet 2012:278 kunnen gegevens worden verzameld indien de omstandigheden van dien aard zijn dat de maatregel bijzonder noodzakelijk is voor het voorkomen, verhinderen, of vaststellen van een criminele activiteit die ofwel een of meer strafbare feiten waarop ten minste twee jaar gevangenisstraf staat omvat, ofwel een van de in § 3 opgesomde handelingen (waaronder met name verschillende vormen van sabotage en spionage).

25.

De beslissing om tot een dergelijke maatregel over te gaan wordt genomen door het hoofd van de betrokken autoriteit of een daartoe gemachtigde persoon.

26.

De beslissing moet de criminele activiteit en de betrokken periode vermelden, alsook het telefoonnummer, de adressen, de communicatieapparatuur en de geografische zone waarop zij betrekking heeft. De periode waarvoor de toestemming geldt mag niet langer zijn dan noodzakelijk is en mag vanaf de datum van de toestemmingsbeslissing niet meer dan een maand bedragen.

27.

Dit type maatregel is niet onderworpen aan een voorafgaande toetsing. Krachtens § 6 van wet 2012:278 moet de Säkerhets- och integritetsskyddsnämnden (veiligheids- en integriteitscommissie, Zweden) evenwel in kennis worden gesteld van elke beslissing waarbij toestemming wordt verleend voor het verzamelen van gegevens. Op grond van § 1 van de lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (wet 2007:980 betreffende het toezicht op bepaalde wetshandhavingsactiviteiten) moet die commissie erop toezien dat de handhavingsautoriteiten de wet toepassen.

3. Bewaringstermijn

28.

Uit hoofdstuk 6, § 16 d, LEK blijkt dat gegevens als bedoeld in § 16 a van dat hoofdstuk moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd. Zij moeten vervolgens onverwijld worden gewist, tenzij in hoofdstuk 6, § 16 d, tweede alinea, LEK anders is bepaald. Op grond van laatstgenoemde bepaling moeten gegevens die vóór het verstrijken van de bewaringstermijn zijn opgevraagd maar nog niet zijn verstrekt, na die verstrekking onverwijld worden gewist.

4. Bescherming en beveiliging van bewaarde gegevens

29.

Hoofdstuk 6, § 20, eerste alinea, LEK verbiedt het zonder toestemming verspreiden of gebruiken van communicatiegegevens.

30.

Volgens hoofdstuk 6, § 3 a, LEK, dienen de aanbieders passende technische en organisatorische maatregelen te nemen om de bescherming van gegevens bij de verwerking ervan te garanderen. Uit de totstandkomingsgeschiedenis van deze bepaling blijkt dat het beschermingsniveau niet mag worden bepaald op basis van een afweging tussen technische overwegingen, kosten, en de risico's van piraterij en hacking.

31.

Nadere voorschriften voor gegevensbescherming zijn opgenomen in § 37, FEK en in de instructies en richtsnoeren van de Post- och telestyrelsen (Zweedse toezichthoudende autoriteit voor post en telecommunicatie; hierna: ‘PTS’) betreffende beschermingsmaatregelen in het kader van de bewaring en de verwerking van gegevens met het oog op misdaadbestrijding (PTSFS nr. 2012:4). Uit die voorschriften blijkt met name dat de aanbieders maatregelen dienen te nemen om gegevens te beschermen tegen onopzettelijke of ongeoorloofde vernietiging, tegen ongeoorloofde bewaring, verwerking en toegang, en tegen ongeoorloofde openbaarmaking. De aanbieder dient de gegevens tevens voortdurend en stelselmatig te beveiligen, rekening houdend met de aan de bewaringsverplichting verbonden bijzondere risico's.

32.

In het Zweedse recht ontbreken bepalingen over de plaats waar de gegevens dienen te worden bewaard.

33.

De toezichthoudende autoriteit is op grond van hoofdstuk 7 van de LEK bevoegd om bevelen en verboden uit te vaardigen tegen aanbieders die hun verplichtingen niet nakomen, eventueel op straffe van een dwangsom, en om een gehele of gedeeltelijke bedrijfsbeëindiging te gelasten.

C — Recht van het Verenigd Koninkrijk

34.

De bewaring van gegevens is geregeld in de Data Retention and Investigatory Powers Act 2014 (wet van 2014 betreffende de bewaring van gegevens en de onderzoeksbevoegdheden; hierna: ‘DRIPA’), in de Data Retention Regulations 2014 (SI 2014/2042) (besluit van 2014 betreffende de bewaring van gegevens; hierna: ‘Regulations 2014’) en in de Retention of Communications (Data) Code of Practice (gedragscode voor de bewaring van gegevens; hierna: ‘code of practice on data retention’).

35.

De bepalingen inzake de toegang tot gegevens bevinden zich in deel 1, hoofdstuk 2 van de Regulation of Investigatory Powers Act 2000 (wet van 2000 tot regeling van de onderzoeksbevoegdheden; hierna: ‘RIPA’), in de Regulation of Investigatory Powers (Communication Data) Order 2010 (SI 2010/480) (besluit van 2010 tot regeling van de onderzoeksbevoegdheden betreffende communicatiegegevens), zoals gewijzigd bij de Regulation of Investigatory Powers (Communications Data) (Amendement) Order 2015 (SI 2015/228) (besluit van 2015 tot wijziging van de regeling van de onderzoeksbevoegdheden betreffende communicatiegegevens), en in de Acquisition and Disclosure of Communications Data Code of Practice (gedragscode voor de vergaring en de verspreiding van communicaties; hierna: ‘code of practice on data acquisition’).

1. Omvang van de bewaringsverplichting

36.

Volgens section 1 van de DRIPA kan de Secretary of State for the Home Department (minister van Binnenlandse Zaken, Verenigd Koninkrijk; hierna: ‘minister’) aanbieders verplichten tot bewaring van alle communicatiegegevens. Die verplichting kan in wezen betrekking hebben op alle gegevens over communicaties die zijn verzonden via een postdienst of een telecommunicatiesysteem, met uitzondering van de inhoud van die communicaties. Die gegevens omvatten onder meer de locatie van de gebruiker van de dienst en de gegevens waarmee kan worden vastgesteld welk IP-adres (internet protocol), of andere identificator, toebehoort aan de afzender of de ontvanger van een communicatie.

37.

Tot de doeleinden die een dergelijke bewaringsmaatregel kunnen rechtvaardigen behoren de belangen van de nationale veiligheid, de voorkoming en opsporing van strafbare feiten en de voorkoming van verstoringen van de openbare orde, de belangen van het economisch welzijn van het Verenigd Koninkrijk voor zover die belangen eveneens relevant zijn voor de belangen van de nationale veiligheid, de belangen van de openbare veiligheid, de bescherming van de volksgezondheid, de toetsing van de oplegging of inning van aan de overheid verschuldigde belastingen, bijdragen of andere bedragen, de voorkoming van lichamelijk of geestelijk letsel in noodsituaties, de ondersteuning van onderzoek naar gerechtelijke dwalingen, de identificatie van overledenen en van personen die zichzelf, anders dan als gevolg van een misdrijf, niet kunnen identificeren (bijvoorbeeld in het geval van een natuurramp of een ongeval), de uitoefening van functies met betrekking tot de regulering van financiële diensten en markten of met betrekking tot de financiële stabiliteit, en elk ander doel dat wordt vermeld in een door de minister krachtens section 22(2), DRIPA uitgevaardigd bevel.

38.

De nationale wetgeving stelt het bewaringsbevel niet afhankelijk van de verlening van voorafgaande toestemming door een rechter of een onafhankelijke instantie. De minister moet nagaan of de bewaringsverplichting ‘noodzakelijk is voor en evenredig aan’ een of meer doeleinden waarvoor relevante communicatiegegevens mogen worden bewaard.

2. Toegang tot bewaarde gegevens

39.

Op grond van section 22(4) RIPA kunnen overheidsinstanties door middel van een bevel aanbieders verplichten hen communicatiegegevens te verstrekken. De vorm en de inhoud van die bevelen is geregeld in section 23(2) RIPA. Een dergelijk bevel wordt beperkt in de tijd door bepalingen over de intrekking en de hernieuwing ervan.

40.

De verkrijging van communicatiegegevens moet noodzakelijk zijn voor en evenredig zijn aan één of meer van de in section 22 RIPA genoemde doeleinden, die overeenkomen met de in punt 37 van deze conclusie beschreven doeleinden die de bewaring van gegevens kunnen rechtvaardigen.

41.

Uit de code of practice on data acquisition blijkt dat rechterlijke toestemming is vereist indien met een verzoek om toegang wordt beoogd de bron van een journalist te achterhalen of indien het verzoek afkomstig is van een lokale autoriteit.

42.

Buiten die gevallen is de toegang van overheidsinstanties onderworpen aan de toestemming van een daartoe aangewezen persoon binnen de betrokken overheidsinstantie. Dit is een persoon die bij die overheidsinstantie een ambt, rang of positie bekleedt en is aangewezen met het oog op de verkrijging van communicatiegegevens, overeenkomstig het besluit van 2015 tot regeling van de onderzoeksbevoegdheden betreffende communicatiegegevens.

43.

Toestemming van een rechter of een onafhankelijke instantie is niet specifiek vereist voor de toegang tot communicatiegegevens die zijn beschermd door een wettelijk beroepsgeheim of betrekking hebben op communicaties van artsen, parlementsleden of geestelijken. De code of practice on data acquisition bepaalt slechts dat bijzondere aandacht moet worden besteed aan de noodzaak en de evenredigheid van verzoeken om toegang tot dergelijke gegevens.

3. Bewaringstermijn

44.

Section 1(5) DRIPA en section 4(2) van de Regulations 2014 bepalen dat gegevens gedurende een periode van ten hoogste twaalf maanden mogen worden bewaard. Volgens de code of practice on data retention mag die periode niet langer zijn dan noodzakelijk en evenredig is. Regulation 6 van de Regulations 2014 verlangt van de minister dat hij bewaringsbevelen doorlopend evalueert.

4. Bescherming en beveiliging van bewaarde gegevens

45.

Ingevolge section 1 DRIPA mogen aanbieders bewaarde gegevens slechts verstrekken indien die verstrekking in overeenstemming is met deel 1, hoofdstuk 2, RIPA, met een rechterlijke beslissing of elke andere rechterlijke goedkeuring of machtiging, of met een door de minister krachtens section 1 DRIPA vastgestelde regeling.

46.

Volgens Regulation 7 en Regulation 8 van de Regulations 2014 moeten de aanbieders de integriteit en veiligheid van de bewaarde gegevens garanderen, ervoor zorgen dat de gegevens niet per ongeluk of onrechtmatig worden vernietigd, per ongeluk verloren gaan of worden gewijzigd, of zonder toestemming of onrechtmatig worden bewaard, verwerkt, geraadpleegd of openbaar gemaakt. Zij moeten de gegevens zodanig vernietigen dat ze niet langer meer kunnen worden geraadpleegd indien de bewaring ervan niet langer is toegestaan, en beveiligingssystemen installeren. Regulation 9 van de Regulations 2014 belast de Information Commissioner met het toezicht op de naleving van deze verplichtingen door de aanbieders.

47.

De autoriteiten waaraan de aanbieders communicatiegegevens verstrekken dienen die gegevens, en ieder afschrift, uittreksel of samenvatting ervan, veilig te verwerken en te bewaren. Ingevolge de code of practice on data acquisition moeten de vereisten die zijn opgenomen in de Data Protection Act (hierna: ‘DPA’), waarbij richtlijn 95/46 is omgezet, worden nageleefd.

48.

De RIPA voorziet in een Interception of Communications Commissioner (hierna: ‘commissioner’) die is belast met het onafhankelijk toezicht op de uitoefening en de vervulling van de in deel 1, hoofdstuk II, RIPA opgenomen bevoegdheden en verplichtingen. De commissioner houdt geen toezicht op het gebruik dat van section 1 DRIPA wordt gemaakt. Hij moet regelmatig voor het publiek en het parlement bestemde rapporten opstellen [sections 57(2) en 58 RIPA] en bijhouden wat de overheidsinstanties hebben bewaard en gerapporteerd (code of practice on data acquisition, sections 6.1–6.8). Indien er een reden is om te veronderstellen dat gegevens op onjuiste wijze zijn verworven, kan een klacht worden ingediend bij het Investigatory Powers Tribunal (section 65 RIPA).

49.

Uit de code of practice on data acquisition blijkt dat de commissioner niet bevoegd is om een zaak naar dat gerecht te verwijzen. Hij mag iemand slechts informeren over een vermoedelijk onrechtmatig gebruik van bevoegdheden indien hij kan ‘aantonen dat een persoon is benadeeld door een door opzet of onvoorzichtigheid veroorzaakt verzuim’. Hij mag evenwel niet overgaan tot openbaarmaking indien daardoor de nationale veiligheid in gevaar wordt gebracht, zelfs niet indien hij van mening is dat er sprake is van een door opzet of onvoorzichtigheid veroorzaakt verzuim.

III — Hoofdgedingen en prejudiciële vragen

A — Zaak C-203/15

50.

Op 9 april 2014, de dag na de uitspraak in de zaak DRI, informeerde Tele2 Sverige de PTS dat zij had besloten te stoppen met de bewaring van gegevens als bedoeld in hoofdstuk 6 van de LEK. Ook zou zij de gegevens verwijderen die zij tot dan toe had bewaard op grond van dat hoofdstuk. Tele2 Sverige was van mening dat de Zweedse wetgeving tot omzetting van richtlijn 2006/24 niet in overeenstemming was met het Handvest.

51.

Op 15 april 2014 diende de Rikspolisstyrelsen (algemene directie van de nationale politie, Zweden; hierna: ‘RPS’) een klacht in bij de PTS omdat Tele2 Sverige was gestopt met het doorgeven aan haar van gegevens met betrekking tot bepaalde elektronische communicaties. Die weigering van Tele2 Sverige had volgens de RPS grote gevolgen voor de handhavingsactiviteiten van de politie.

52.

Op 27 juni 2014 beval de PTS Tele2 Sverige om de bewaring van gegevens uiterlijk op 25 juli 2014 te hervatten op grond van hoofdstuk 6, § 16 a, LEK en de §§ 37–43, FEK.

53.

Tele2 Sverige stelde bij het Förvaltningsrätten i Stockholm (bestuursrechter, Stockholm, Zweden) beroep in tegen de beslissing van de PTS. Bij uitspraak van 13 oktober 2014 verwierp het Förvaltningsrätten i Stockholm dat beroep.

54.

Tele2 Sverige stelde vervolgens hoger beroep in bij de verwijzende rechter, strekkende tot vernietiging van de beslissing van het Förvaltningsrätten i Stockholm.

55.

De Kammarrätten i Stockholm (hogerberoepsrechter in bestuurszaken, Stockholm, Zweden) is van oordeel dat er argumenten zijn zowel voor als tegen de opvatting dat een vergaande verplichting als die van hoofdstuk 6, § 16 a, LEK verenigbaar is met de bepalingen van artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest. Het heeft derhalve besloten de behandeling van de zaak te schorsen en het Hof de volgende prejudiciële vragen te stellen:

‘1)

Is een algemene verplichting tot bewaring van gegevens die van toepassing is op alle personen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel, de bestrijding van ernstige criminaliteit, [zoals beschreven in de punten 13–18 van de verwijzingsbeslissing], verenigbaar met artikel 15, lid 1, van richtlijn 2002/58, gelet op de artikelen 7, 8 en 52, lid 1, van het Handvest?

2)

Indien de eerste vraag ontkennend wordt beantwoord, kan een dergelijke bewaringsverplichting dan niettemin zijn toegestaan:

a): indien de toegang van de nationale autoriteiten tot de bewaarde gegevens is geregeld op de wijze als beschreven in de punten 19–36 [van de verwijzingsbeslissing], en
b): indien de vereisten van bescherming en beveiliging zijn geregeld op de wijze als beschreven in de punten 38–43 [van de verwijzingsbeslissing], en
c): alle betrokken gegevens moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd alvorens te worden gewist, zoals is uiteengezet in punt 37 [van de verwijzingsbeslissing]?’

B — Zaak C-698/15

56.

Watson, Brice en Lewis hebben ieder bij de High Court of Justice (England & Wales), Queen's Bench Division (Administrative Court) [rechter van eerste aanleg (Engeland & Wales), afdeling van de bank van de Koningin (bestuurszaken)] beroep ingesteld tot toetsing van de rechtmatigheid (‘judicial review’) van de in section 1 DRIPA opgenomen regeling inzake gegevensbewaring, die de minister machtigt exploitanten van openbare telecommunicatiediensten te verplichten alle communicatiegegevens, met uitzondering van de inhoud van de betrokken communicaties, te bewaren gedurende een termijn van ten hoogste twaalf maanden.

57.

Open Rights Group, Privacy International en de Law Society of England and Wales hebben toestemming gekregen in elk van die procedures te interveniëren.

58.

Bij uitspraak van 17 juli 2015 verklaarde dat gerecht die regeling onverenigbaar met het Unierecht, omdat zij niet voldeed aan de door het arrest DRI gestelde vereisten die, volgens dat gerecht, van toepassing zijn op regelingen van de lidstaten inzake de bewaring van elektronischecommunicatiegegevens en de toegang daartoe. De minister heeft tegen deze uitspraak hoger beroep ingesteld bij de verwijzende rechter.

59.

Bij arrest van 20 november 2015 stelde de Court of Appeal (England & Wales) (Civil Division) zich op het voorlopige standpunt dat het arrest DRI geen dwingende vereisten van Unierecht heeft opgelegd aan de nationale wetgevingen, maar slechts heeft onderscheiden en beschreven welke bescherming in de geharmoniseerde Unieregeling ontbrak.

60.

De Court of Appeal (England & Wales) (Civil Division) is evenwel van mening dat de antwoorden op die vragen van Unierecht niet duidelijk zijn, maar wel noodzakelijk zijn voor de uitspraak in deze procedures. Hij heeft dan ook besloten de behandeling van de zaak te schorsen en het Hof de volgende prejudiciële vragen voor te leggen:

‘1): Legt het arrest [DRI] (waaronder met name de punten 60 en 62 ervan) dwingende vereisten van Unierecht op die van toepassing zijn op de nationale regeling van een lidstaat inzake de toegang tot gegevens die overeenkomstig de nationale wetgeving worden bewaard, teneinde te voldoen aan de artikelen 7 en 8 van het [Handvest]?
2): Verruimt het arrest [DRI] de werkingssfeer van de artikelen 7 en/of 8 van het Handvest ten opzichte van die van artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (‘EVRM’), zoals vastgelegd in de rechtspraak van het Europees Hof voor de Rechten van de Mens (‘EHRM’)?’

IV — Procedure bij het Hof

61.

De prejudiciële verzoeken zijn bij de griffie van het Hof ingeschreven op 4 mei 2015 (zaak C-203/15) en op 28 december 2015 (zaak C-698/15).

62.

Bij beschikking van 1 februari 2016 heeft het Hof beslist om zaak C-698/15 te behandelen volgens de versnelde procedure van artikel 105, lid 1, van het Reglement voor de procesvoering van het Hof.

63.

In zaak C-203/15 zijn schriftelijke opmerkingen ingediend door Tele2 Sverige, de Belgische, de Tsjechische, de Deense, de Duitse, de Estse, de Ierse, de Spaanse, de Franse, de Hongaarse, de Nederlandse en de Zweedse regering, de regering van het Verenigd Koninkrijk, en de Europese Commissie.

64.

In zaak C-698/15 zijn schriftelijke opmerking ingediend door Watson, Brice en Lewis, Open Rights Group, Privacy International, de Law Society of England and Wales, de Tsjechische, de Deense, de Duitse, de Estse, de Ierse, de Franse, de Cypriotische, de Poolse en de Finse regering, de regering van het Verenigd Koninkrijk, en de Commissie.

65.

Bij beschikking van het Hof van 10 maart 2016 zijn deze twee zaken gevoegd voor de mondelinge behandeling en het arrest.

66.

Tijdens de pleitzitting van 12 april 2016 zijn de vertegenwoordigers van Tele2 Sverige, Watson, Brice en Lewis, Open Rights Group, Privacy International, de Law Society of England and Wales, de Tsjechische, de Deense, de Duitse, de Estse, de Ierse, de Spaanse, de Franse, de Finse en de Zweedse regering, de regering van het Verenigd Koninkrijk, en de Commissie in hun opmerkingen gehoord.

V — Analyse van de prejudiciële vragen

67.

Met de eerste vraag in zaak C-203/15 wenst de verwijzende rechter van het Hof te vernemen of, in het licht van het arrest DRI, artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest aldus moeten worden uitgelegd dat zij zich ertegen verzetten dat een lidstaat aanbieders een algemene verplichting tot bewaring van gegevens oplegt als in de hoofdgedingen aan de orde, en wel los van de eventuele waarborgen waarmee die verplichting gepaard gaat.

68.

Indien die vraag ontkennend wordt beantwoord beogen de tweede vraag in zaak C-203/15 en de eerste vraag in zaak C-698/15 vast te stellen of die bepalingen aldus moeten worden uitgelegd dat zij zich ertegen verzetten dat een lidstaat aanbieders een algemene verplichting tot bewaring van gegevens oplegt, indien die verplichting niet gepaard gaat met alle door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen inzake de toegang tot de gegevens, de bewaringstermijn, en de bescherming en beveiliging van de gegevens.

69.

Aangezien deze drie vragen nauw met elkaar zijn verbonden zal ik ze in het vervolg van mijn uiteenzetting samen onderzoeken.

70.

Daarentegen verlangt de tweede vraag in zaak C-698/15 afzonderlijke behandeling. Met die vraag wenst de verwijzende rechter van het Hof te vernemen of het arrest DRI de werkingssfeer van de artikelen 7 en/of 8 van het Handvest heeft verruimd ten opzichte van die van artikel 8 EVRM. Ik zal in de volgende paragraaf uiteenzetten waarom ik van mening ben dat deze vraag niet-ontvankelijk moet worden verklaard.

71.

Alvorens met het onderzoek van deze vragen te beginnen acht ik het zinvol om in herinnering te brengen op welke soorten gegevens de in de hoofdgedingen betrokken bewaringsverplichtingen betrekking hebben. Volgens de verwijzende rechters is de omvang van die verplichtingen in wezen gelijk aan die van de verplichting die was opgenomen in artikel 5 van richtlijn 2006/248.. Schematisch kunnen de communicatiegegevens die het voorwerp van die verplichtingen vormen worden verdeeld in vier categorieën9.:

—: gegevens waarmee zowel de bron als de bestemming van de communicatie kan worden onderscheiden;
—: gegevens waarmee de locatie van zowel de bron als de bestemming van de communicatie kan worden vastgesteld;
—: gegevens met betrekking tot de datum, het tijdstip en de duur van de communicatie, en
—: gegevens waarmee het soort communicatie en het soort apparatuur dat daarbij is gebruikt kan worden vastgesteld.

72.

De inhoud van de communicaties valt niet onder de in de hoofdgedingen betrokken algemene verplichtingen tot bewaring van gegevens, zoals ook was bepaald in artikel 5, lid 2, van richtlijn 2006/24.

A — Ontvankelijkheid van de tweede vraag in zaak C-698/15

73.

De tweede vraag in zaak C-698/15 verzoekt het Hof vast te stellen of het arrest DRI de werkingssfeer van de artikelen 7 en/of 8 van het Handvest verruimt ten opzichte van die van artikel 8 EVRM, zoals uitgelegd door het EHRM.

74.

Deze vraag weerspiegelt met name het door de minister voor de verwijzende rechter aangevoerde argument dat het EHRM noch verlangt dat voor de toegang tot gegevens vooraf toestemming moet worden verleend door een onafhankelijk orgaan, noch dat de bewaring van en de toegang tot die gegevens wordt beperkt tot de bestrijding van ernstige criminaliteit.

75.

Ik ben van mening dat deze vraag om de volgende redenen als niet-ontvankelijk moet worden afgewezen. Het is duidelijk dat de door het Hof in het arrest DRI geformuleerde overwegingen en de oplossing waarvoor het heeft gekozen van doorslaggevend belang zijn voor de beslechting van de hoofdgedingen. De omstandigheid dat dit arrest mogelijkerwijs de werkingssfeer van de artikelen 7 en/of 8 van het Handvest heeft verruimd ten opzichte van die van artikel 8 EVRM is echter op zichzelf hiervoor niet relevant.

76.

Het is in dit verband van belang eraan te herinneren dat volgens artikel 6, lid 3, VEU de door het EVRM gewaarborgde grondrechten als algemene beginselen deel uitmaken van het Unierecht. Zolang de Unie geen partij is bij dat verdrag, vormt het EVRM echter geen formeel in de rechtsorde van de Unie opgenomen rechtsinstrument.10.

77.

De eerste zin van artikel 52, lid 3, van het Handvest schrijft weliswaar voor dat, voor zover het Handvest rechten bevat die corresponderen met door het EVRM gegarandeerde rechten, die rechten aldus moeten worden uitgelegd dat ‘de inhoud en reikwijdte ervan dezelfde [zijn] als die welke er door genoemd verdrag aan worden toegekend’.

78.

Maar volgens de tweede zin van artikel 52, lid 3, van het Handvest ‘verhindert [deze bepaling] niet dat het recht van de Unie een ruimere bescherming biedt’. In mijn ogen volgt uit deze zin dat het Hof, indien het dat in de context van het Unierecht nodig acht, de werkingssfeer van bepalingen van het Handvest kan verruimen ten opzichte van die van de corresponderende bepalingen van het EVRM.

79.

Ik voeg daar subsidiair aan toe dat artikel 8 van het Handvest, zoals het Hof het heeft uitgelegd in het arrest DRI, een recht verleent dat met geen enkel door het EVRM gegarandeerd recht correspondeert, namelijk het recht op bescherming van persoonsgegevens, hetgeen overigens wordt bevestigd door de toelichting bij artikel 52 van het Handvest.11. Bijgevolg is de uitleggingsregel van artikel 52, lid 3, eerste zin, van het Handvest in elk geval niet van toepassing op de uitlegging van artikel 8 van het Handvest, zoals Brice en Lewis, Open Rights Group en Privacy International, de Law Society of England and Wales, en de Tsjechische, de Ierse en de Finse regering hebben opgemerkt.

80.

Uit het voorgaande volgt dat het Unierecht zich niet ertegen verzet dat de artikelen 7 en 8 van het Handvest een verdergaande bescherming bieden dan het EVRM. Bijgevolg is de omstandigheid dat het arrest DRI de werkingssfeer van die bepalingen van het Handvest mogelijkerwijs heeft verruimd ten opzichte van die van artikel 8 EVRM, op zichzelf niet relevant voor de beslechting van de hoofdgedingen. De voor die gedingen te kiezen oplossing hangt voornamelijk af van de voorwaarden waaronder een algemene verplichting tot bewaring van gegevens verenigbaar kan worden geacht met artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest, uitgelegd in het licht van het arrest DRI, hetgeen precies het voorwerp vormt van de drie andere in de onderhavige zaken gestelde vragen.

81.

Volgens vaste rechtspraak kan het Hof een verzoek van een nationale rechter slechts afwijzen, wanneer de verlangde uitlegging van het Unierecht duidelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het probleem hypothetisch is, of wanneer het Hof niet beschikt over de feitelijke en juridische gegevens die het nodig heeft om een nuttig antwoord op de gestelde vragen te kunnen geven.12.

82.

In casu, en om de hiervoor uiteengezette redenen, is de tweede vraag in zaak C-698/15 mijns inziens slechts van theoretisch belang, aangezien een eventueel antwoord op die vraag de verwijzende rechter geen gegevens kan verschaffen voor een uitlegging van het Unierecht die hem van nut kunnen zijn bij de beslechting van het bij hem aanhangige geding met toepassing van dit recht.13.

83.

In deze omstandigheden ben ik van mening dat die vraag als niet-ontvankelijk moet worden afgewezen, zoals Watson, de Law Society of England and Wales, en de Tsjechische regering terecht hebben aangevoerd.

B — Verenigbaarheid van een algemene verplichting tot bewaring van gegevens met de regeling van richtlijn 2002/58

84.

In deze paragraaf onderzoek ik of de lidstaten voor het opleggen van een algemene verplichting tot bewaring van gegevens gebruik kunnen maken van de door artikel 15, lid 1, van richtlijn 2002/58 geboden mogelijkheid. Ik onderzoek hierin echter niet de bijzondere vereisten waaraan lidstaten moeten voldoen indien zij van die mogelijkheid gebruik wensen te maken. Die vereisten komen in een latere paragraaf uitgebreid aan bod.14.

85.

Open Rights Group en Privacy International stellen namelijk dat een dergelijke verplichting, los van de naleving van de uit artikel 15, lid 1, van richtlijn 2002/58 voortvloeiende vereisten, onverenigbaar is met de geharmoniseerde regeling van richtlijn 2002/58, omdat zij het wezen van die regeling en van de door deze richtlijn gevestigde rechten zou tenietdoen.

86.

Alvorens dit argument te onderzoeken moet worden nagegaan of een algemene verplichting tot bewaring van gegevens binnen de werkingssfeer van die richtlijn valt.

1. Valt een algemene verplichting tot bewaring van gegevens binnen de werkingssfeer van richtlijn 2002/58?

87.

Geen van de partijen die schriftelijke opmerkingen hebben ingediend bij het Hof bestrijdt dat een algemene verplichting tot bewaring van gegevens zoals in de hoofdgedingen aan de orde is, valt onder het begrip ‘verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de [Unie]’ in de zin van artikel 3 van richtlijn 2002/58.

88.

De Tsjechische, de Franse en de Poolse regering en de regering van het Verenigd Koninkrijk stellen echter dat een algemene verplichting tot bewaring van gegevens valt onder de uitzondering van artikel 1, lid 3, van richtlijn 2002/58. Enerzijds zouden de nationale bepalingen die de toegang tot de gegevens en het gebruik ervan door de politie en de justitiële autoriteiten van de lidstaten regelen verband houden met de openbare veiligheid, defensie of de staatsveiligheid, of op zijn minst onder het strafrecht vallen. Anderzijds zou de bewaring van gegevens slechts tot doel hebben om die politie en justitiële autoriteiten in staat te stellen om toegang tot die gegevens te krijgen en ze te gebruiken. Bijgevolg zou op grond van de hierboven genoemde bepaling een algemene verplichting tot bewaring van gegevens zijn uitgesloten van de werkingssfeer van die richtlijn.

89.

Ik ben niet overtuigd van deze redenering om de volgende redenen.

90.

In de eerste plaats bevestigen de bewoordingen van artikel 15, lid 1, van richtlijn 2002/58 dat door de lidstaten opgelegde bewaringsverplichtingen binnen de werkingssfeer van deze richtlijn vallen. Volgens deze bepaling ‘kunnen de lidstaten [namelijk] onder andere wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd’. Het lijkt mij op zijn minst moeilijk vol te houden dat bewaringsverplichtingen van de werkingssfeer van die richtlijn zijn uitgesloten terwijl artikel 15, lid 1, van die richtlijn het mogelijkheid maakt om dergelijke verplichtingen vast te stellen.

91.

In feite, en zoals Watson, Brice en Lewis, de Belgische, de Deense, de Duitse en de Finse regering als ook de Commissie hebben aangevoerd, geeft een algemene verplichting tot bewaring van gegevens als in de hoofdgedingen aan de orde, uitvoering aan artikel 15, lid 1, van richtlijn 2002/58.

92.

In de tweede plaats impliceert het feit dat de bepalingen die de toegang regelen kunnen vallen onder de uitzondering van artikel 1, lid 3, van richtlijn 2002/5815. niet dat de bewaringsverplichting daar eveneens onder valt en bijgevolg buiten de werkingssfeer van deze richtlijn blijft.

93.

Het Hof heeft in dit verband reeds gelegenheid gehad te preciseren dat de activiteiten die worden genoemd in artikel 3, lid 2, eerste streepje, van richtlijn 95/46/EG16., dat bewoordingen van gelijke strekking bevat als artikel 1, lid 3, van richtlijn 2002/58, specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met activiteiten van particulieren.17.

94.

De in de hoofdgedingen betrokken bewaringsverplichtingen zijn evenwel, zoals de Commissie heeft opgemerkt, opgelegd aan particuliere aanbieders in het kader van private elektronischecommunicatiediensten. Bovendien gelden deze verplichtingen los van ieder toegangsverzoek van de politie of de justitiële autoriteiten, en meer in het algemeen los van elke handeling van overheidsinstanties op het gebied van de openbare veiligheid, defensie, de staatsveiligheid of het strafrecht.

95.

In de derde plaats bevestigt de uitspraak van het Hof in het arrest Ierland/Parlement en Raad dat een algemene verplichting tot bewaring van gegevens niet onder het strafrecht valt.18. Het Hof oordeelde namelijk dat richtlijn 2006/24, die in een dergelijke verplichting voorzag, niet onder het strafrecht viel maar onder de werking van de interne markt, zodat artikel 95 EG (thans artikel 114 VWEU) de juiste rechtsgrondslag vormde voor de vaststelling van die richtlijn.

96.

Het Hof heeft hieraan met name ten grondslag gelegd dat de bepalingen van die richtlijn voornamelijk waren beperkt tot de activiteiten van de aanbieders van diensten en niet de toegang tot gegevens noch het gebruik daarvan door de politie of de justitiële autoriteiten van de lidstaten regelden.19. Daaruit leidt ik af dat nationale bepalingen die een met die van richtlijn 2006/24 vergelijkbare verplichting tot bewaring van gegevens invoeren ook niet onder het strafrecht vallen.

97.

Gelet op het voorgaande ben ik van mening dat een algemene verplichting tot bewaring van gegevens niet onder de uitzondering van artikel 1, lid 3, van richtlijn 2002/58 en bijgevolg wel degelijk binnen de werkingssfeer van die richtlijn valt.

2. Mogelijkheid om af te wijken van de regeling van richtlijn 2002/58 door de invoering van een algemene verplichting tot bewaring van gegevens

98.

Thans moet worden vastgesteld of een algemene verplichting tot bewaring van gegevens verenigbaar is met de regeling van richtlijn 2002/58.

99.

In dit verband rijst de vraag of een lidstaat voor het opleggen van een dergelijke verplichting gebruik kan maken van de door artikel 15, lid 1, van richtlijn 2002/58 geboden mogelijkheid.

100.

Daartegen zijn vier argumenten aangevoerd, met name door Open Rights Group en Privacy International.

101.

Volgens het eerste argument zou het aan de lidstaten toekennen van de bevoegdheid om een algemene verplichting tot bewaring van gegevens vast te stellen afbreuk doen aan de harmonisatiedoelstelling die de bestaansgrond van richtlijn 2002/58 vormt. Deze richtlijn voorziet immers, volgens artikel 1, lid 1, ervan, in de harmonisatie van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en -diensten in de Unie.

102.

Derhalve zou artikel 15, lid 1, van richtlijn 2002/58 niet aldus kunnen worden uitgelegd dat het de lidstaten de bevoegdheid verleent om een zodanig vergaande uitzondering op de regeling van die richtlijn vast te stellen dat dit streven naar harmonisatie elk nuttig effect wordt ontnomen.

103.

Volgens het tweede argument verzetten ook de bewoordingen van artikel 15, lid 1, van richtlijn 2002/58 zich tegen een dergelijke ruime uitlegging van de bevoegdheid van de lidstaten om af te wijken van de regeling van die richtlijn. Volgens deze bepaling kunnen de lidstaten immers ‘wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten’ (cursivering van mij).

104.

Een algemene verplichting tot bewaring van gegevens zou echter niet slechts ‘de reikwijdte beperken’ van de in die bepaling vermelde rechten en plichten, maar die rechten en plichten volledig tenietdoen. Dit zou gelden voor:

—: de verplichting om het vertrouwelijke karakter van verkeersgegevens te garanderen en de verplichting om de opslag van informatie afhankelijk te stellen van de toestemming van de gebruiker, als bedoeld in respectievelijk artikel 5, leden 1 en 3, van richtlijn 2002/58;
—: de verplichting om verkeersgegevens te wissen of anoniem te maken, als bedoeld in artikel 6, lid 1, van die richtlijn, en
—: de verplichting om locatiegegevens anoniem te maken en om toestemming te krijgen van de gebruiker voor verwerking van die gegevens, als bedoeld in artikel 9, lid 1, van die richtlijn.

105.

Deze eerste twee argumenten moeten mijns inziens worden afgewezen om de volgende redenen.

106.

Enerzijds vermelden de bewoordingen van artikel 15, lid 1, van richtlijn 2002/58 de mogelijkheid dat de lidstaten ‘wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren’. Deze uitdrukkelijke verwijzing naar verplichtingen tot bewaring van gegevens bevestigt dat dergelijke verplichtingen op zichzelf niet onverenigbaar zijn met de regeling van richtlijn 2002/58. Hoewel die formulering niet uitdrukkelijk voorziet in de mogelijkheid van een algemene verplichting tot bewaring van gegevens, moet worden vastgesteld dat zij zich hiertegen ook niet verzet.

107.

Anderzijds preciseert overweging 11 van richtlijn 2002/58 dat die richtlijn niets verandert ‘aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen die nodig zijn voor de bescherming van de openbare veiligheid, defensie, de staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied’. Bijgevolg ‘doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane intercepties van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het [EVRM] in acht nemen’.

108.

Uit deze overweging 11 volgt mijns inziens dat de Uniewetgever niet de bedoeling heeft gehad afbreuk te doen aan de bevoegdheid van de lidstaten om de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde maatregelen te treffen, maar die bevoegdheid afhankelijk heeft willen stellen van bepaalde vereisten verbandhoudend met de door die maatregelen nagestreefde doelen en de evenredigheid ervan. Met andere woorden, een algemene verplichting tot bewaring van gegevens is mijns inziens niet onverenigbaar met de regeling van deze richtlijn, mits zij aan bepaalde voorwaarden voldoet.

109.

Volgens het derde argument zou artikel 15, lid 1, van richtlijn 2002/58, als uitzondering op de regeling van die richtlijn, strikt moeten worden uitgelegd conform een uit de vaste rechtspraak van het Hof voortvloeiende uitleggingsregel. Die regel zou verbieden deze bepaling aldus uit te leggen dat zij de oplegging van een algemene verplichting tot bewaring van gegevens toelaat.

110.

Ik ben in dit verband van mening dat de door artikel 15, lid 1, van richtlijn 2002/58 geboden mogelijkheid niet als uitzondering kan worden gekwalificeerd en derhalve niet strikt mag worden uitgelegd, zoals de Commissie terecht heeft aangevoerd. Deze mogelijkheid kan mijns inziens immers moeilijk als uitzondering worden gekwalificeerd gelet op de hierboven weergegeven overweging 11, volgens welke die richtlijn geen afbreuk doet aan de mogelijkheid voor de lidstaten om de in die bepaling bedoelde maatregelen vast te stellen. Ik merk bovendien op dat artikel 15 van die richtlijn het opschrift draagt ‘Toepassing van een aantal bepalingen van Richtlijn 95/46’, terwijl artikel 10 van die richtlijn is voorzien van het uitdrukkelijke opschrift ‘Uitzonderingen’. Die opschriften sterken mij in de gedachte dat de mogelijkheid waarin artikel 15 voorziet niet kan worden gekwalificeerd als ‘uitzondering’.

111.

Volgens het vierde en laatste argument zou de onverenigbaarheid van een algemene verplichting tot bewaring van gegevens met de regeling van richtlijn 2002/58 worden ondersteund door de toevoeging van artikel 15, lid 1 bis, aan die richtlijn bij de vaststelling van de door het arrest DRI ongeldig verklaarde richtlijn 2006/24. Die onverenigbaarheid zou de Uniewetgever ertoe zou hebben gebracht artikel 15, lid 1, van richtlijn 2002/58 niet van toepassing te verklaren op de algemene bewaringsregeling van richtlijn 2006/24.

112.

Dit argument lijkt mij voort te komen uit een onjuiste opvatting van de strekking van artikel 15, lid 1 bis, van richtlijn 2002/58. Volgens deze bepaling ‘[is artikel 15, lid 1, van richtlijn 2002/58] niet van toepassing op de uit hoofde van richtlijn [2006/24] te bewaren gegevens voor de in artikel 1, lid 1, van die richtlijn bedoelde doeleinden’.

113.

Mijn lezing van die bepaling is de volgende. Ten aanzien van de gegevens waarvan de bewaring werd voorgeschreven door richtlijn 2006/24 en voor de erin neergelegde doeleneinden, verloren de lidstaten de in artikel 15, lid 1, van richtlijn 2002/58 genoemde bevoegdheid om de reikwijdte van de in die bepaling bedoelde rechten en plichten verder te beperken, met name door middel van aanvullende verplichtingen tot bewaring van gegevens. Met andere woorden, artikel 15, lid 1 bis, voorzag, wat de gegevens betreft waarvan de bewaring werd voorgeschreven door richtlijn 2006/24 en voor de erin neergelegde doeleinden, in een volledige harmonisatie.

114.

Ik vind bevestiging voor deze uitlegging in overweging 12 van richtlijn 2006/24, volgens welke ‘[a]rtikel 15, lid 1, van richtlijn [2002/58] van toepassing [blijft] op gegevens, met inbegrip van gegevens met betrekking tot oproeppogingen zonder resultaat, die ingevolge de huidige richtlijn niet specifiek moeten worden bewaard en derhalve niet onder het toepassingsgebied daarvan [vallen], alsook [op de] bewaring van gegevens voor doelstellingen, inclusief van justitiële aard, andere dan die welke onder deze richtlijn vallen’ (cursivering van mij).

115.

De invoeging van artikel 15, lid 1 bis, van richtlijn 2002/58 bevestigt derhalve niet de onverenigbaarheid van een algemene verplichting tot bewaring van gegevens met de regeling van die richtlijn, maar de wens van de Uniewetgever om bij de vaststelling van richtlijn 2006/24 een volledige harmonisatie tot stand te brengen.

116.

Gelet op het voorgaande ben ik van mening dat een algemene verplichting tot bewaring van gegevens verenigbaar is met de regeling van richtlijn 2002/58 en dat een lidstaat bijgevolg gebruik kan maken van de mogelijkheid die artikel 15, lid 1, van die richtlijn biedt om een dergelijke verplichting op te leggen.20. Het beroep op die mogelijkheid is evenwel onderworpen aan de naleving van strikte vereisten, die niet slechts voortvloeien uit die bepaling maar eveneens uit de relevante bepalingen van het Handvest gelezen in het licht van het arrest DRI, die in een volgende paragraaf zullen worden onderzocht.21.

C — Toepasbaarheid van het Handvest op een algemene verplichting tot bewaring van gegevens

117.

Alvorens de inhoud te onderzoeken van de eisen die het Handvest samen met artikel 15, lid 1, van richtlijn 2002/58 stelt wanneer een lidstaat ervoor kiest een algemene verplichting tot bewaring van gegevens op te leggen, moet worden nagegaan of het Handvest van toepassing is op een dergelijke verplichting.

118.

De toepasselijkheid van het Handvest op een algemene verplichting tot bewaring van gegevens hangt voornamelijk af van de toepasselijkheid van richtlijn 2002/58 op een dergelijke verplichting.

119.

Artikel 51, lid 1, eerste zin, van het Handvest bepaalt immers dat ‘[d]e bepalingen van dit Handvest […] uitsluitend wanneer zij het recht van de Unie ten uitvoer brengen tot de lidstaten [zijn gericht]’. De toelichting bij artikel 51 van het Handvest verwijst in dit verband naar de rechtspraak van het Hof, volgens welke de verplichting om de in het kader van de Unie vastgestelde grondrechten te eerbiedigen alleen geldt voor de lidstaten wanneer deze optreden binnen het toepassingsgebied van het recht van de Unie.22.

120.

De Tsjechische, de Franse en de Poolse regering alsook de regering van het Verenigd Koninkrijk, die de toepasselijkheid van richtlijn 2002/58 op een algemene verplichting tot bewaring van gegevens betwisten23., stellen eveneens dat het Handvest niet van toepassing is op een dergelijke verplichting.

121.

Ik heb reeds uiteengezet waarom ik van mening ben dat een algemene verplichting tot bewaring van gegevens uitvoering geeft aan de mogelijkheid die is gegeven in artikel 15, lid 1, van richtlijn 2002/58.24.

122.

Ik meen derhalve dat de bepalingen van het Handvest, op grond van artikel 51, lid 1, ervan, van toepassing zijn op nationale maatregelen die een dergelijke verplichting opleggen, zoals Watson, Brice en Lewis, Open Rights Group en Privacy International, de Deense, de Duitse en de Finse regering alsook de Commissie hebben aangevoerd.25.

123.

Deze gevolgtrekking wordt niet tegengesproken door het feit dat de nationale bepalingen die de toegang tot bewaarde gegevens regelen, als zodanig niet binnen de werkingssfeer van het Handvest vallen.

124.

Voor zover zij betrekking hebben op ‘activiteiten van de staat op strafrechtelijk gebied’ vallen nationale bepalingen die de toegang van de politie en de justitiële autoriteiten tot bewaarde gegevens regelen met het oog op de bestrijding van ernstige criminaliteit, mijns inziens onder de uitzondering van artikel 1, lid 3, van richtlijn 2002/58.26. Dergelijke nationale bepalingen brengen bijgevolg niet het recht van de Unie ten uitvoer, zodat het Handvest er niet op van toepassing is.

125.

Het bestaansrecht van een algemene verplichting tot bewaring van gegevens is nochtans erin gelegen dat de handhavingsautoriteiten toegang kunnen krijgen tot de bewaarde gegevens. De problematieken van bewaring en toegang staan derhalve niet geheel los van elkaar. Zoals de Commissie terecht heeft opgemerkt, zijn de toegangsregels van doorslaggevend belang voor de beoordeling van de verenigbaarheid met het Handvest van bepalingen die een algemene verplichting tot bewaring van gegevens opleggen, welke bepalingen uitvoering geven aan artikel 15, lid 1, van richtlijn 2002/58. Meer in het bijzonder moeten de bepalingen die de toegang regelen in acht worden genomen bij de beoordeling van de noodzakelijkheid en de evenredigheid van een dergelijke verplichting.27.

D — Verenigbaarheid van een algemene verplichting tot bewaring van gegevens met de door artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest gestelde vereisten

126.

Rest mij thans de moeilijke vraag of een algemene verplichting tot bewaring van gegevens verenigbaar is met de vereisten van artikel 15, lid 1, van richtlijn 2002/58 en de artikelen 7, 8 en 52, lid 1, van het Handvest, gelezen in het licht van het arrest DRI. Deze vraag betreft meer in het algemeen de noodzakelijke aanpassing van het wettelijke kader dat de controlemogelijkheden van de lidstaten regelt; die mogelijkheden zijn als gevolg van recente technologische ontwikkelingen belangrijk toegenomen.28.

127.

De eerste stap van elke analyse in deze context bestaat in de vaststelling dat er inmenging plaatsvindt in de door richtlijn 2002/58 erkende rechten en in de door de artikelen 7 en 8 van het Handvest erkende grondrechten.

128.

Een dergelijke verplichting vormt namelijk een ernstige inmenging in het door artikel 7 van het Handvest erkende recht op eerbiediging van het privéleven en het door artikel 8 van het Handvest gewaarborgde recht op bescherming van persoonsgegevens. Aangezien het Hof die inmenging duidelijk heeft vastgesteld in de punten 32–37 van het arrest DRI acht ik het niet nodig hierover verder uit te weiden.29. Een algemene verplichting tot bewaring van gegevens vormt tevens een inmenging in een aantal van de door richtlijn 2002/58 erkende rechten.30.

129.

De tweede stap van de analyse bestaat erin te bepalen of, en onder welke voorwaarden, die ernstige inmenging in de door richtlijn 2002/58 erkende rechten en de door de artikelen 7 en 8 van het Handvest erkende grondrechten kan worden gerechtvaardigd.

130.

Twee bepalingen schrijven voor aan welke vereisten moet zijn voldaan wil die dubbele inmenging gerechtvaardigd zijn: artikel 15, lid 1, van richtlijn 2002/58, dat r de mogelijkheid definieert waarover de lidstaten beschikken om de omvang van bepaalde in die richtlijn neergelegde rechten te beperken, en artikel 52, lid 1, van het Handvest, gelezen in het licht van het arrest DRI, dat het kader vormt voor elke beperking van de uitoefening van door het Handvest erkende rechten.

131.

Ik wil benadrukken dat het cumulatieve vereisten betreft. De naleving van de vereisten van artikel 15, lid 1, van richtlijn 2002/58 impliceert immers op zichzelf niet dat aan de vereisten van artikel 52, lid 1, van het Handvest is voldaan, en vice versa.31. Bijgevolg kan een algemene verplichting tot bewaring van gegevens slechts verenigbaar met het Unierecht worden geacht wanneer zij zowel de in artikel 15, lid 1, van richtlijn 2002/58 neergelegde rechten als die van artikel 52, lid 1, van het Handvest eerbiedigt, zoals is opgemerkt door de Law Society of England and Wales.32.

132.

Samen bevatten deze twee bepalingen zes vereisten waaraan moet zijn voldaan wil een door een algemene verplichting tot bewaring van gegevens veroorzaakte inmenging gerechtvaardigd zijn:

—: de bewaringsverplichting moet een wettelijke grondslag hebben;
—: zij moet de wezenlijke inhoud van de door het Handvest erkende rechten eerbiedigen;
—: zij moet een doelstelling van algemeen belang nastreven;
—: zij moet geschikt zijn voor het nastreven van die doelstelling;
—: zij moet noodzakelijk zijn voor het nastreven van die doelstelling, en
—: zij moet evenredig zijn, in een democratische samenleving, aan het nagestreefde doel.

133.

Een aantal van die vereisten is reeds door het Hof besproken in het arrest DRI. Voor de duidelijkheid en gelet op de bijzonderheden van de onderhavige zaken ten opzichte van de zaak DRI zou ik niettemin op elk ervan willen ingaan en de vereisten van wettelijke grondslag, noodzakelijkheid, en evenredigheid in een democratische samenleving van een algemene verplichting tot bewaring van gegevens aan een nader onderzoek onderwerpen.

1. Vereiste van een wettelijke grondslag in het nationale recht

134.

Zowel artikel 52, lid 1, van het Handvest als artikel 15, lid 1, van richtlijn 2002/58 stelt eisen aan de wettelijke grondslag die een lidstaat moet gebruiken voor het opleggen van een algemene verplichting tot bewaring van gegevens.

135.

In de eerste plaats moet volgens artikel 52, lid 1, van het Handvest elke beperking van de uitoefening van de daarin erkende rechten ‘bij wet worden gesteld’. Ik wijs erop dat dit vereiste niet formeel is onderzocht door het Hof in het arrest DRI, dat betrekking had op een inmenging waarin was voorzien in een richtlijn.

136.

Tot aan het recente arrest WebMindLicenses33. had het Hof zich nog nooit uitgesproken over de precieze draagwijdte van dit vereiste, zelfs niet wanneer het uitdrukkelijk vaststelde dat er wel34. of niet35. aan was voldaan. In punt 81 van dat arrest oordeelde het Hof als volgt:

‘In dat verband zij benadrukt dat het vereiste dat een beperking op de uitoefening van dat recht bij wet is vastgesteld, impliceert dat de wettelijke grondslag voor het gebruik van de in het vorige punt vermelde bewijzen door de belastingdienst voldoende duidelijk en nauwkeurig moet zijn, en een zekere bescherming biedt tegen eventueel willekeurig optreden van deze dienst doordat in die wettelijke grondslag zelf de reikwijdte van de beperking op de uitoefening van het door artikel 7 van het Handvest beschermde recht wordt omschreven (zie met name EHRM, Malone/Verenigd Koninkrijk, 2 augustus 1984, serie A nr. 82, § 67, alsook Gillan en Quinton/Verenigd Koninkrijk, 12 januari 2010, nr. 4158/05, § 77, EHRM 2010).’

137.

Ik geef de Grote kamer van het Hof in overweging deze uitlegging in de onderhavige zaken te bevestigen om de volgende redenen.

138.

Zoals advocaat-generaal Cruz Villalón terecht heeft opgemerkt in zijn conclusie in de zaak Scarlet Extended36., bestaat er een omvangrijke rechtspraak van het EHRM over dit vereiste in de context van het EVRM, die wordt gekenmerkt door een ‘materiële’ en niet door een ‘formele’ opvatting van de term ‘wet’.37.

139.

Volgens die rechtspraak impliceert de uitdrukking ‘bij wet gesteld’ dat de wettelijke grondslag voldoende toegankelijk en voorzienbaar moet zijn, dat wil zeggen nauwkeurig genoeg geformuleerd om een persoon in staat te stellen — zo nodig na het inwinnen van deskundig advies — zijn gedrag erop af te stemmen. Die wettelijke grondslag moet eveneens naar behoren tegen willekeur beschermen en bijgevolg voldoende duidelijk de omvang en de wijze van uitoefening van de aan de autoriteiten toegekende bevoegdheid definiëren (beginsel van de rechtsstaat).38.

140.

Ik ben van mening dat aan de in artikel 52, lid 1, van het Handvest gebruikte uitdrukking ‘bij wet gesteld’ dezelfde betekenis moet worden toegekend als deze uitdrukking heeft in de context van het EVRM, om de volgende redenen.

141.

Enerzijds kan ingevolge artikel 53 van het Handvest en de toelichting op dat artikel het door het Handvest geboden beschermingsniveau nooit lager zijn dan het door het EVRM gewaarborgde niveau. Dit gebod om de ‘EVRM-drempel’ te bereiken impliceert dat de uitlegging door het Hof van de in artikel 52, lid 1, van het Handvest gebruikte uitdrukking ‘bij wet gesteld’ ten minste zo strikt moet zijn als die van het EHRM in de context van het EVRM.39.

142.

Anderzijds zou het, gelet op de horizontale aard van dit vereiste, dat van toepassing kan zijn op vele soorten inmengingen, zowel in de context van het Handvest als in die van het EVRM40., niet juist zijn de lidstaten te onderwerpen aan verschillende criteria naargelang de inmenging wordt getoetst aan het ene of het andere van die instrumenten.41.

143.

Ik ben derhalve van mening dat, zoals de Estse regering en de Commissie hebben aangevoerd, de uitdrukking ‘bij wet gesteld’ in artikel 52, lid 1, van het Handvest, in het licht van de rechtspraak van het EHRM die ik in punt 139 van deze conclusie heb samengevat, aldus moet worden uitgelegd dat een algemene verplichting tot bewaring van gegevens als in de hoofdgedingen aan de orde, enerzijds moet berusten op een voldoende toegankelijke en voorzienbare wettelijke grondslag en anderzijds naar behoren tegen willekeur moet beschermen.

144.

In de tweede plaats moet de inhoud worden bepaald van de eisen die artikel 15, lid 1, van richtlijn 2001/58 stelt aan de wettelijke grondslag die moet worden gekozen door een lidstaat die gebruik wenst te maken van de door die bepaling geboden mogelijkheid.

145.

In dit verband zij opgemerkt dat de taalversies van de eerste zin van deze bepaling onderling afwijken.

146.

In de Engelse (‘legislative measures’), de Franse (‘mesures législatives’), de Italiaanse (‘disposizioni legislative’), de Portugese (‘medidas legislativas’), de Roemeense (‘măsuri legislative’) en de Zweedse (‘genom lagstiftning vidta åtgärder’) taalversie schrijft artikel 15, lid 1, eerste zin, van richtlijn 2002/58 mijns inziens maatregelen voor die zijn vastgesteld door de wetgevende macht.

147.

Daarentegen kunnen de Deense (‘retsforskrifter’), de Duitse (‘Rechtsvorschriften’), de Zweedse (‘lagstiftning vidta åtgärder’), de Nederlandse (‘wettelijke maatregelen’) en de Spaanse (‘medidas legales’) taalversie van deze zin aldus worden uitgelegd dat zij maatregelen voorschrijven die ofwel door de wetgevende macht, ofwel door de uitvoerende macht zijn vastgesteld.

148.

Volgens vaste rechtspraak brengt het vereiste van uniforme toepassing en dus uitlegging van een Uniehandeling mee dat deze handeling niet op zichzelf in een van haar versies mag worden beschouwd, maar moet worden uitgelegd zowel naar de werkelijke bedoeling van degene van wie de handeling afkomstig is als naar het doel dat hij nastreeft, gelet op onder meer de versies in alle andere officiële talen. Indien die versies onderling afwijken, dan moet die bepaling in principe worden uitgelegd met inachtneming van de algemene opzet en de doelstelling van de regeling waarvan zij een onderdeel vormt.42.

149.

In casu regelt artikel 15, lid 1, van richtlijn 2002/58 de mogelijkheid voor de lidstaten om af te wijken van de door de artikelen 7 en 8 van het Handvest erkende grondrechten, in de bescherming waarvan deze richtlijn voorziet. Het lijkt mij dan ook juist om het door artikel 15, lid 1, van richtlijn 2002/58 gestelde vereiste van wettelijke grondslag uit te leggen in het licht van het Handvest en in het bijzonder van artikel 52, lid 1, ervan.

150.

De door artikel 15, lid 1, van richtlijn 2002/58 voorgeschreven ‘maatregelen’ moeten derhalve dwingend beschikken over de in punt 143 van deze conclusie vermelde kenmerken, dus toegankelijk en voorzienbaar zijn en naar behoren beschermen tegen willekeur. Uit deze kenmerken, en met name uit het vereiste dat die maatregelen naar behoren moeten beschermen tegen willekeur, volgt dat deze maatregelen bindend moeten zijn voor de nationale autoriteiten die toegang krijgen tot de bewaarde gegevens. Het zou met name niet volstaan indien de waarborgen die de toegang tot die gegevens omgeven zouden zijn opgenomen in niet-bindende interne gedragscodes of richtsnoeren, zoals terecht is opgemerkt door de Law Society of England and Wales.

151.

Bovendien sluit de uitdrukking ‘de lidstaten kunnen […] maatregelen treffen’, die in alle taalversies van artikel 15, lid 1, eerste zin, van richtlijn 2002/58 gelijk is, mijns inziens uit dat nationale rechtspraak, zelfs wanneer die vast is, een voldoende wettelijke grondslag kan vormen voor de toepassing van die bepaling. Ik wijs erop dat die bepaling in dit opzicht verder gaat dan de eisen die de rechtspraak van het EHRM stelt.43.

152.

Ik voeg daaraan toe dat het mij, gelet op de ernst van de door een algemene verplichting tot bewaring van gegevens veroorzaakte inmenging in de door de artikelen 7 en 8 van het Handvest erkende grondrechten, wenselijk lijkt dat de wezenlijke inhoud van de betrokken regeling, en met name de waarborgen die deze verplichting omgeven, wordt vastgelegd in een door de wetgevende macht vastgestelde maatregel, waarvan de uitvoerende macht de uitvoeringsbepalingen preciseert.

153.

Gelet op het voorgaande ben ik van mening dat artikel 15, lid 1, van richtlijn 2002/58 en artikel 52, lid 1, van het Handvest aldus moeten worden uitgelegd dat regelingen die een algemene verplichting tot bewaring van gegevens opleggen, als in de hoofdgedingen aan de orde, moeten worden vastgesteld bij wettelijke of bestuursrechtelijke maatregelen die voldoende toegankelijk en voorzienbaar zijn en naar behoren beschermen tegen willekeur.

154.

Het staat aan de verwijzende rechters om de naleving van dit vereiste na te gaan, gelet op hun bevoorrechte positie waar het de beoordeling van hun respectieve nationale regelingen betreft.

2. Eerbiediging van de wezenlijke inhoud van de door de artikelen 7 en 8 van het Handvest erkende rechten

155.

Volgens artikel 52, lid 1, moeten beperkingen van de uitoefening van de door het Handvest erkende rechten en vrijheden ‘de wezenlijke inhoud van die rechten en vrijheden eerbiedigen’.44. Dit aspect, dat het Hof heeft onderzocht in de punten 39 en 40 van het arrest DRI in de context van richtlijn 2006/24, lijkt geen bijzondere problemen op te leveren in het kader van de onderhavige zaken, zoals is opgemerkt door de Spaanse en de Ierse regering en de Commissie.

156.

In punt 39 van het arrest DRI besliste het Hof dat die richtlijn geen afbreuk deed aan de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven en de andere door artikel 7 van het Handvest erkende rechten, omdat zij niet toestond bood om kennis te nemen van de inhoud zelf van de elektronische communicaties.

157.

Deze uitspraak is mijns inziens toepasbaar op de in de hoofdgedingen betrokken nationale regelingen, aangezien die ook niet toestaan kennis te nemen van de inhoud zelf van de elektronische communicaties.45.

158.

In punt 40 van het arrest DRI oordeelde het Hof dat richtlijn 2006/24 geen afbreuk deed aan de wezenlijke inhoud van het door artikel 8 van het Handvest erkende grondrecht op bescherming van persoonsgegevens, gelet op de beginselen van gegevensbescherming en -beveiliging die de aanbieders ingevolge artikel 7 van die richtlijn moesten eerbiedigen, mits de lidstaten ervoor zorgden dat passende technische en organisatorische maatregelen werden genomen om te vermijden dat de gegevens per ongeluk of onrechtmatig werden vernietigd dan wel per ongeluk verloren raakten of werden gewijzigd.

159.

Ook die uitspraak is mijns inziens toepasbaar op de in de hoofdgedingen betrokken nationale regelingen, aangezien deze vergelijkbare waarborgen bevatten voor de bescherming en de beveiliging van de door de aanbieders opgeslagen gegevens en deze waarborgen een doeltreffende bescherming van persoonsgegevens tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens mogelijk moet maken.46.

160.

Het staat niettemin aan de verwijzende rechters om na te gaan of de in de hoofdgedingen betrokken nationale regelingen de wezenlijke inhoud van de door de artikelen 7 en 8 van het Handvest erkende rechten daadwerkelijk eerbiedigen in het licht van het voorgaande.

3. Bestaan van een door de Unie erkende doelstelling van algemeen belang die een algemene verplichting tot bewaring van gegevens kan rechtvaardigen.

161.

Zowel artikel 15, lid 1, van richtlijn 2002/58 als artikel 52, lid 1, van het Handvest vereist dat inmengingen in de door die instrumenten erkende rechten een doelstelling van algemeen belang nastreven.

162.

In de punten 41–44 van het arrest DRI oordeelde het Hof enerzijds dat de door richtlijn 2006/24 opgelegde algemene verplichting tot bewaring van gegevens bijdroeg tot ‘de bestrijding van ernstige criminaliteit en aldus uiteindelijk tot de openbare veiligheid’, en anderzijds dat die bestrijding van ernstige criminaliteit een doelstelling van algemeen belang van de Unie vormde.

163.

Uit de rechtspraak van het Hof blijkt namelijk dat de bestrijding van terrorisme ter handhaving van de internationale vrede en veiligheid een doel van algemeen belang van de Unie vormt. Hetzelfde geldt voor de bestrijding van ernstige criminaliteit ter waarborging van de openbare veiligheid. In dit verband zij voorts opgemerkt dat artikel 6 van het Handvest bepaalt dat eenieder niet alleen recht heeft op vrijheid, maar ook op veiligheid.47.

164.

Dit oordeel is toepasbaar op de in de hoofdgedingen betrokken algemene verplichtingen tot bewaring van gegevens, die kunnen worden gerechtvaardigd door de doelstelling van bestrijding van ernstige criminaliteit.

165.

Gelet op bepaalde voor het Hof aangevoerde argumenten moet niettemin worden vastgesteld of een dergelijke verplichting kan worden gerechtvaardigd door een andere doelstelling van algemeen belang dan de bestrijding van ernstige criminaliteit.

166.

In dit verband verwijzen de bewoordingen van artikel 52, lid 1, van het Handvest in algemene zin naar ‘door de Unie erkende doelstellingen van algemeen belang’ en ‘de eisen van de bescherming van de rechten en vrijheden van anderen’.

167.

Artikel 15, lid 1, van richtlijn 2002/58 omschrijft de doelstellingen die een inmenging in de door deze richtlijn erkende rechten kunnen rechtvaardigen preciezer. Volgens deze bepaling moeten de desbetreffende maatregelen namelijk bijdragen aan de ‘waarborging van de nationale, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46’.

168.

Het Hof oordeelde voorts in het arrest Promusicae48. dat deze bepaling moet worden uitgelegd in het licht van artikel 13, lid 1, van richtlijn 95/46, dat afwijkingen van de in die richtlijn neergelegde rechten toestaat wanneer deze worden gerechtvaardigd door ‘de bescherming van de rechten en vrijheden van anderen’. Het Hof oordeelde bijgevolg dat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten de mogelijkheid bood om een aanbieder te verplichten persoonsgegevens te verstrekken, zodat in een civiele procedure kon worden vastgesteld of er sprake was van een inbreuk op auteursrechten op muzikale en audiovisuele opnamen.

169.

De regering van het Verenigd Koninkrijk heeft op grond van dit arrest aangevoerd dat een algemene verplichting tot bewaring van gegevens kan worden gerechtvaardigd door ieder in artikel 15, lid 1, van richtlijn 2002/58 en artikel 13, lid 1, van richtlijn 95/46 vermeld doel. Volgens die regering kan een dergelijke verplichting worden gerechtvaardigd door het nut dat de bewaarde gegevens hebben voor de bestrijding van ‘lichte’ criminaliteit (tegenover ‘ernstige’) en zelfs in de context van niet-strafrechtelijke procedures die verband houden met de in die bepalingen vermelde doelen.

170.

Dit argument overtuigt mij niet om de volgende redenen.

171.

In de eerste plaats, en zoals Watson, Open Rights Group, en Privacy International terecht stellen, is de benadering die het Hof in het arrest Promusicae49. heeft gekozen niet toepasbaar op de onderhavige zaken, aangezien dat arrest een door een vereniging van houders van auteursrechten ingediend verzoek om toegang tot gegevens betrof die uit eigen beweging door een aanbieder, Telefónica de España, waren bewaard. Met andere woorden, dit arrest betrof niet de doelstellingen die de ernstige inmengingen in de grondrechten die inherent zijn aan algemene verplichtingen tot bewaring van gegevens als in de hoofdgedingen aan de orde, kunnen rechtvaardigen.

172.

In de tweede plaats ben ik van mening dat het vereiste van evenredigheid in een democratische samenleving uitsluit dat de bestrijding van lichte criminaliteit of het goede verloop van niet-strafrechtelijke procedures een algemene verplichting tot bewaring van gegevens zou kunnen rechtvaardigen. De aanzienlijke risico's die een dergelijke verplichting met zich brengt staan immers niet in verhouding tot de voordelen die zij zou hebben voor de bestrijding van lichte criminaliteit of in de context van niet-strafrechtelijke procedures.50.

173.

Gelet op het voorgaande ben ik van mening dat artikel 15, lid 1, van richtlijn 2002/58 en artikel 52, lid 1, van het Handvest aldus moeten worden uitgelegd dat de bestrijding van ernstige criminaliteit een doelstelling van algemeen belang vormt die een algemene verplichting tot bewaring van gegevens kan rechtvaardigen, in tegenstelling tot de bestrijding van lichte criminaliteit of het goede verloop van niet-strafrechtelijke procedures.

174.

Bijgevolg moeten de redelijkheid, noodzakelijkheid en evenredigheid van een dergelijke verplichting worden onderzocht in het licht van de bestrijding van ernstige criminaliteit.

4. Redelijkheid, noodzakelijkheid en evenredigheid van een algemene verplichting tot bewaring van gegevens in het licht van de bestrijding van ernstige criminaliteit

175.

De vereisten van redelijkheid, noodzakelijkheid51. en evenredigheid52. vloeien zowel voort uit artikel 15, lid 1, van richtlijn 2002/58 als uit artikel 52, lid 1, van het Handvest.

176.

Ingevolge het eerste van deze vereisten moeten algemene verplichtingen tot bewaring van gegevens, als hier aan de orde, geschikt zijn om bij te dragen tot de hiervoor onderscheiden doelstelling van algemeen belang, te weten de bestrijding van ernstige criminaliteit.

177.

Dit vereiste levert geen bijzondere moeilijkheid op in de context van de onderhavige zaken. Zoals het Hof heeft opgemerkt in punt 49 van het arrest DRI, bieden de bewaarde gegevens de nationale strafvervolgingsautoriteiten een extra onderzoeksmiddel om ernstige gevallen van criminaliteit te voorkomen of op te helderen. Een dergelijke verplichting draagt derhalve bij aan de bestrijding van ernstige criminaliteit.

178.

Ik wil niettemin verduidelijken welk nut een algemene verplichting tot bewaring van gegevens kan hebben voor de bestrijding van ernstige criminaliteit. Zoals de Franse regering terecht heeft aangevoerd, stelt een dergelijke maatregel, anders dan gerichte controlemaatregelen, de strafrechtelijke autoriteiten tot op zekere hoogte in staat om door de raadpleging van de bewaarde gegevens het ‘verleden te lezen’.

179.

Een gerichte controlemaatregel heeft betrekking op personen van wie vooraf is vastgesteld dat zij betrokken kunnen zijn, al is het maar indirect of in de verte, bij een ernstig strafbaar feit. Dergelijke gerichte maatregelen geven de bevoegde autoriteiten toegang tot gegevens over door die personen gevoerde communicaties of zelfs tot de inhoud van die communicaties. Die toegang kan echter slechts communicaties betreffen die dergelijke personen hebben gevoerd nadat hun identiteit is vastgesteld.

180.

Daarentegen betreft een algemene verplichting tot bewaring van gegevens alle communicaties van alle gebruikers, zonder dat enige betrokkenheid bij een ernstig strafbaar feit is vereist. Een dergelijke verplichting stelt de bevoegde autoriteiten in staat de communicatiegeschiedenis van een persoon te raadplegen vóórdat een dergelijke betrokkenheid van die persoon is vastgesteld. Het is in die zin dat een dergelijke verplichting de handhavingsautoriteiten een beperkt vermogen verleent om het verleden te lezen door hen toegang te bieden tot de communicaties die dergelijke personen hebben gevoerd voordat hun identiteit werd vastgesteld.53.

181.

Met andere woorden, het nut van een algemene verplichting tot bewaring van gegevens voor de bestrijding van ernstige criminaliteit ligt in dat beperkte vermogen om het verleden te lezen aan de hand van gegevens die de geschiedenis weergeven van de communicaties die een persoon heeft gevoerd vóórdat hij ervan werd verdacht betrokken te zijn bij een ernstig strafbaar feit.54.

182.

Bij de indiening van het richtlijnvoorstel dat heeft geleid tot de vaststelling van richtlijn 2006/24 heeft de Commissie dit nut verduidelijkt aan de hand van een aantal concrete voorbeelden van onderzoeken inzake, met name, daden van terrorisme, moord, ontvoering en kinderpornografie.55.

183.

Een aantal gelijksoortige voorbeelden is voor het Hof uiteengezet in het kader van de onderhavige zaken, met name door de Franse regering, die heeft gewezen op de positieve verplichting die op de lidstaten rust om de veiligheid te garanderen van personen die zich op hun grondgebied bevinden. Volgens die regering speelt in het kader van de onderzoeken naar de ontmanteling van netwerken die het vertrek van Franse onderdanen naar conflictgebieden in Irak of Syrië organiseerden, de toegang tot bewaarde gegevens een doorslaggevende rol bij de identificatie van personen die dat vertrek hebben bevorderd. Zij voegt daaraan toe dat de toegang tot de communicatiegegevens van personen die betrokken waren bij de recente terroristische aanslagen van januari en november 2015 in Frankrijk voor de opsporingsambtenaren buitengewoon nuttig is geweest voor de opsporing van medeplichtigen van de daders van die aanslagen. In het kader van de opsporing van een vermiste persoon kunnen gegevens met betrekking tot de locatie van die persoon tijdens de communicaties die hij vóór zijn verdwijning heeft gevoerd een doorslaggevende rol spelen voor het onderzoek.

184.

Gelet op het voorgaande ben ik van mening dat een algemene verplichting tot bewaring van gegevens geschikt is om bij te dragen tot de bestrijding van ernstige criminaliteit. Niettemin moet nog worden nagegaan of een dergelijke verplichting voor dit doel zowel noodzakelijk als evenredig is.

5. Noodzakelijkheid van een algemene verplichting tot bewaring van gegevens voor de bestrijding van ernstige criminaliteit

185.

Volgens vaste rechtspraak kan een maatregel slechts worden geacht noodzakelijk te zijn indien er geen andere maatregel is die even passend maar minder ingrijpend is.56.

186.

Het redelijkheidsvereiste komt neer op een toetsing van de ‘absolute’ doeltreffendheid — los van iedere andere denkbare maatregel — van een algemene verplichting tot bewaring van gegevens voor de bestrijding van ernstige criminaliteit. Het noodzakelijkheidsvereiste vergt daarentegen een beoordeling van de doelmatigheid ‒ of ‘relatieve’ doeltreffendheid, dat wil zeggen in vergelijking met andere denkbare maatregelen ‒ van een dergelijke verplichting.57.

187.

In de context van de onderhavige zaken verplicht de noodzakelijkheidstoets ertoe enerzijds na te gaan of andere maatregelen even doeltreffend kunnen zijn als een algemene verplichting tot bewaring van gegevens voor de bestrijding van ernstige criminaliteit, en anderzijds of die eventuele maatregelen minder inbreuk maken op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten.58.

188.

Ik herinner voorts aan de in punt 52 van het arrest DRI weergegeven vaste rechtspraak van het Hof, volgens welke de bescherming van het grondrecht op eerbiediging van het privéleven vereist dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het ‘strikt noodzakelijke’ blijven.59.

189.

Over twee vraagstukken die betrekking hebben op het vereiste van strikte noodzakelijkheid in de context van de onderhavige zaken is uitgebreid gediscussieerd door de partijen die opmerkingen hebben ingediend bij het Hof. Die vraagstukken komen in wezen overeen met de twee door de verwijzende rechter in zaak C-203/15 gestelde vragen:

—: enerzijds, moet een algemene verplichting tot bewaring van gegevens in het licht van de punten 56–59 van het arrest DRI worden geacht op zichzelf de grenzen te overschrijden van het strikt noodzakelijke voor de bestrijding van ernstige criminaliteit, los van de eventuele waarborgen waarmee die verplichting gepaard gaat?
—: anderzijds, gesteld dat een dergelijke verplichting niet kan worden geacht op zichzelf de grenzen te overschrijden van het strikt noodzakelijke, moet zij dan gepaard gaan met alle waarborgen die het Hof heeft genoemd in de punten 60-68 van het arrest DRI, teneinde de inbreuk op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten tot het strikt noodzakelijke te beperken?

190.

Alvorens op deze vragen in te gaan wil ik het door de regering van het Verenigd Koninkrijk naar voren gebrachte argument afwijzen dat de in het arrest DRI geformuleerde criteria in de context van de onderhavige zaken niet relevant zijn omdat dat arrest geen betrekking had op een nationale regeling maar op een door de Uniewetgever vastgestelde regeling.

191.

In dit verband wijs ik erop dat het arrest DRI uitlegging heeft gegeven aan de artikelen 7, 8 en 52, lid 1, van het Handvest en dat die bepalingen tevens het voorwerp vormen van de in de hoofgedingen gestelde vragen. Het is mijns inziens niet mogelijk om de bepalingen van het Handvest verschillend uit te leggen naargelang de betrokken regeling is vastgesteld op Unieniveau of op nationaal niveau, zoals Brice, Lewis en de Law Society of England and Wales terecht hebben opgemerkt. Wanneer is vastgesteld dat het Handvest van toepassing is, zoals in de onderhavige zaken het geval is60., moet het op dezelfde wijze worden toegepast, ongeacht de betrokken regeling. De door het Hof in het arrest DRI geformuleerde criteria zijn derhalve relevant voor de beoordeling van de in de hoofdgedingen betrokken nationale regelingen, zoals met name is aangevoerd door de Deense en de Ierse regering en door de Commissie.

a) Strikte noodzakelijkheid van een algemene verplichting tot bewaring van gegevens

192.

Volgens een eerste benadering, verdedigd door Tele2 Sverige en door Open Rights Group en Privacy International, moet een algemene verplichting tot bewaring van gegevens na het arrest DRI worden geacht op zichzelf de grenzen te overschrijden van het strikt noodzakelijke voor de bestrijding van ernstige criminaliteit, los van de eventuele waarborgen waarmee die verplichting gepaard gaat.

193.

Volgens een tweede benadering, ondersteund door de meerderheid van de andere partijen die opmerkingen hebben ingediend bij het Hof, overschrijdt een dergelijke verplichting niet de grenzen van het strikt noodzakelijke, mits zij gepaard gaat met bepaalde waarborgen inzake de toegang tot de gegevens, de bewaringstermijn, en de bescherming en beveiliging van de gegevens.

194.

Ik kies voor de tweede benadering om de volgende redenen.

195.

In de eerste plaats heeft het Hof in mijn lezing van het arrest DRI uitgemaakt dat een algemene verplichting tot bewaring van gegevens de grenzen van het strikt noodzakelijke overschrijdt wanneer zij niet gepaard gaat met strikte waarborgen inzake de toegang tot de gegevens, de bewaringstermijn, en de bescherming en beveiliging van de gegevens. Daarentegen heeft het Hof zich niet uitgesproken over de verenigbaarheid met het Unierecht van een algemene verplichting tot bewaring van gegevens die wel gepaard gaat met dergelijke waarborgen, aangezien de in die zaak aan het Hof gestelde vragen niet een dergelijke regeling betroffen.

196.

Ik merk in dit verband op dat de punten 56–59 van het arrest DRI geen enkele verklaring van het Hof bevatten in de zin dat een algemene verplichting tot bewaring van gegevens op zichzelf de grenzen zou overschrijden van het strikt noodzakelijke.

197.

In de punten 56 en 57 van dat arrest stelt het Hof vast dat de in richtlijn 2006/24 opgenomen bewaringsverplichting van toepassing is op alle elektronischecommunicatiemiddelen, alle gebruikers en alle verkeersgegevens, zonder hier enige differentiatie, beperking of uitzondering op basis van het nagestreefde doel, de bestrijding van ernstige criminaliteit, aan toe te voegen.

198.

In de punten 58 en 59 van dat arrest zet het Hof gedetailleerder uiteen wat de praktische gevolgen zijn van dit ontbreken van differentiatie. Enerzijds betrof die bewaringsverplichting zelfs personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag — zelfs maar indirect of in de verte — verband kan houden met ernstige criminaliteit. Anderzijds vereiste die richtlijn geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkte met name de bewaring niet tot gegevens betrekking hebbend op een bepaalde periode en/of een bepaalde geografische zone en/of een kring van bepaalde personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit.

199.

Daarmee stelde het Hof vast dat een algemene verplichting tot bewaring van gegevens wordt gekenmerkt door het ontbreken van differentiatie op basis van het nagestreefde doel, de bestrijding van ernstige criminaliteit. Het oordeelde evenwel niet dat dit ontbreken van differentiatie betekent dat een dergelijke verplichting op zichzelf de grenzen van het strikt noodzakelijke overschrijdt.

200.

In feite oordeelde het Hof pas na het onderzoek van de regeling van richtlijn 2006/24 en na te hebben vastgesteld dat bepaalde waarborgen, die ik hierna zal onderzoeken61., ontbraken, in punt 69 van het arrest DRI:

‘Gelet op een en ander moet worden geoordeeld dat de wetgever van de Unie met de vaststelling van richtlijn 2006/24 de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7, 8 en 52, lid 1,van het Handvest in acht dient te nemen’

(cursivering van mij).

201.

Zoals de Duitse en de Nederlandse regering hebben aangevoerd, indien de algemene gegevensbewaring als zodanig reeds voldoende was geweest voor de ongeldigheid van richtlijn 2006/24, zou het Hof het ontbreken van de in de punten 60–68 van dat arrest genoemde waarborgen niet gedetailleerd hebben hoeven onderzoeken.

202.

De algemene verplichting tot bewaring van gegevens van richtlijn 2006/24 overschreed derhalve op zichzelf niet de grenzen van het strikt noodzakelijke. Die richtlijn overschreed de grenzen van het strikt noodzakelijke vanwege het gecombineerde gevolg van de algemene gegevensbewaring en de afwezigheid van waarborgen om de inbreuk op de in de artikelen 7 en 8 van het Handvest erkende rechten te beperken tot het strikt noodzakelijke. Door dit gecombineerde gevolg moest de richtlijn in haar geheel ongeldig worden verklaard.62.

203.

In de tweede plaats vindt ik steun voor deze uitlegging in punt 93 van het arrest Schrems63., dat ik hier weergeef:

‘Niet beperkt tot het strikt noodzakelijke is dan ook een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens [zie in die zin aangaande richtlijn 2006/24, arrest DRI, punten 57–61]’

(cursivering van mij).

204.

Het Hof oordeelde opnieuw niet dat de in die zaak betrokken regeling de grenzen van het strikt noodzakelijke overschreed enkel omdat zij een algemene bewaring van persoonsgegevens toestond. In die zaak werden de grenzen van het strikt noodzakelijke overschreden vanwege het gecombineerde gevolg van de mogelijkheid van een dergelijke algemene gegevensbewaring en het ontbreken van waarborgen omtrent de toegang, bedoeld om de inmenging te beperken tot het strikt noodzakelijke.

205.

Uit het voorgaande leid ik af dat een algemene verplichting tot bewaring van gegevens niet altijd moet worden geacht op zichzelf de grenzen van het strikt noodzakelijke voor de bestrijding van ernstige criminaliteit te overschrijden. Daarentegen overschrijdt een dergelijke verplichting altijd de grenzen van het strikt noodzakelijke wanneer zij niet gepaard gaat met waarborgen inzake de toegang tot de gegevens, de bewaringstermijn, en de bescherming en beveiliging van de gegevens.

206.

In de derde plaats zie ik mijn visie in dit verband gestaafd door de noodzaak om concreet te onderzoeken of het vereiste van strikte noodzakelijkheid in acht is genomen in de context van de in de hoofdgedingen betrokken nationale regelingen.

207.

Zoals ik heb uiteengezet in punt 187 van deze conclusie, verlangt het vereiste van strikte noodzakelijkheid dat wordt onderzocht of andere maatregelen even doeltreffend kunnen zijn voor de bestrijding van ernstige criminaliteit als een algemene verplichting tot bewaring van gegevens, maar minder inbreuk maken op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten.

208.

Deze beoordeling moet plaatsvinden binnen de specifieke context van elke nationale regeling die in een algemene verplichting tot bewaring van gegevens voorziet. Enerzijds verlangt die beoordeling dat de doeltreffendheid van die verplichting wordt vergeleken met elke andere in de nationale context denkbare maatregel, rekening houdend met het feit dat die verplichting de bevoegde autoriteiten een beperkt vermogen verleent om via de bewaarde gegevens het verleden te lezen.64.

209.

Gelet op het vereiste van strikte noodzakelijkheid is het van het grootste belang dat de rechters niet slechts het nut onderzoeken van een algemene verplichting tot bewaring van gegevens, maar nauwkeurig nagaan of geen enkele andere maatregel of combinatie van maatregelen, en met name een met andere onderzoeksinstrumenten gepaard gaande gerichte verplichting tot bewaring van gegevens, even doeltreffend kan zijn voor de bestrijding van ernstige criminaliteit. Ik merk in dit verband op dat een aantal onder de aandacht van het Hof gebrachte studies de noodzakelijkheid van dit type verplichting voor de bestrijding van ernstige criminaliteit ter discussie stellen.65.

210.

Anderzijds, gesteld dat andere maatregelen even doeltreffend kunnen zijn voor de bestrijding van ernstige misdrijven, dan moeten de verwijzende rechters nog vaststellen of die maatregelen minder inbreuk maken op de betrokken grondrechten dan een algemene verplichting tot bewaring van gegevens, gelet op de in punt 185 van deze conclusie weergegeven vaste rechtspraak.

211.

In het licht van punt 59 van het arrest DRI staat het aan de nationale rechters om met name na te gaan of het mogelijk is de materiële omvang van de bewaringsverplichting te beperken met behoud van de doeltreffendheid van deze maatregel voor de bestrijding van ernstige criminaliteit.66. De materiële omvang van dergelijke verplichtingen kan immers variëren naargelang van de gebruikers, de geografische zones en de communicatiemiddelen die zij betreffen.67.

212.

In mijn ogen zou het met name wenselijk zijn, indien de technologie dit toelaat, om van de bewaringsverplichting gegevens uit te sluiten die in het licht van de in de onderhavige zaken betrokken grondrechten bijzonder gevoelig zijn, zoals gegevens die onder het beroepsgeheim vallen of gegevens waarmee journalistieke bronnen van journalisten kunnen worden achterhaald.

213.

Men moet evenwel in gedachten houden dat een vergaande beperking van de omvang van een algemene verplichting tot bewaring van gegevens het nut van een dergelijke regeling voor de bestrijding van ernstige criminaliteit aanzienlijk kan verminderen. Enerzijds heeft een aantal regeringen aangegeven dat het moeilijk, zo niet onmogelijk is, vooraf te bepalen welke gegevens verband zouden kunnen houden met een ernstig strafbaar feit. Bijgevolg kan een dergelijke beperking de bewaring uitsluiten van gegevens die relevant zouden kunnen blijken voor de bestrijding van ernstige criminaliteit.

214.

Anderzijds is, zoals de Estse regering heeft aangevoerd, ernstige criminaliteit een dynamisch fenomeen dat zich kan aanpassen aan de onderzoeksinstrumenten waarover de handhavingsautoriteiten beschikken. Een beperking tot een geografische zone of een bepaald communicatiemiddel kan derhalve een verplaatsing uitlokken van met ernstige criminaliteit verband houdende activiteiten naar een geografische zone en/of communicatiemiddelen die niet worden bestreken door die regeling.

215.

Aangezien zij een ingewikkeld onderzoek van de in de hoofdgedingen betrokken nationale regelingen vergt, ben ik van mening dat die beoordeling moet worden overgelaten aan de nationale rechters, zoals de Tsjechische, de Estse, de Ierse, de Franse en de Nederlandse regering alsook de Commissie hebben opgemerkt.

b) Dwingend karakter van de door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen in het licht van het vereiste van strikte noodzakelijkheid

216.

Gesteld dat een algemene verplichting tot bewaring van gegevens kan worden geacht strikt noodzakelijk te zijn in de context van de betrokken nationale regeling, hetgeen door de nationale rechter moet worden beoordeeld, dan moet nog worden vastgesteld of een dergelijke verplichting gepaard moet gaan met alle door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen, teneinde de inbreuk op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten tot het strikt noodzakelijke te beperken.

217.

Die waarborgen betreffen de regels voor de toegang tot en het gebruik van bewaarde gegevens door de bevoegde autoriteiten (punten 60–62 van arrest DRI), de bewaringstermijn (punten 63 en 64 van dat arrest) en de beveiliging en bescherming van door aanbieders opgeslagen gegevens (punten 66–68 van dat arrest).

218.

In de bij het Hof ingediende opmerkingen staan twee theorieën over de aard van die waarborgen tegenover elkaar.

219.

Volgens de eerste theorie, verdedigd door Watson, Brice en Lewis en door Open Rights Group en Privacy International, zijn de door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen dwingend. Volgens deze theorie heeft het Hof minimumwaarborgen geformuleerd die alle moeten worden vervuld door de betrokken nationale regeling teneinde de inbreuk op de grondrechten te beperken tot het strikt noodzakelijke.

220.

Volgens de tweede theorie, die wordt gesteund door de Duitse, de Estse, de Ierse en de Franse regering en de regering van het Verenigd Koninkrijk, zijn de door het Hof in de punten 60–68 van het arrest DRI vermelde waarborgen slechts indicatief. Het Hof zou de in de regeling van richtlijn 2006/14 ontbrekende waarborgen ‘globaal hebben beoordeeld’, zonder dat één van die waarborgen afzonderlijk kan worden geacht dwingend te zijn met het oog op het vereiste van strikte noodzakelijkheid. De Duitse regering heeft deze theorie geïllustreerd aan de hand van het beeld van ‘communicerende vaten’ waarbij een soepelere benadering van een van de drie door het Hof onderscheiden aspecten (bijvoorbeeld de toegang tot bewaarde gegevens) kan worden gecompenseerd door een striktere benadering van de twee andere aspecten (de bewaringstermijn en de beveiliging en bescherming van de gegevens).

221.

Ik ben om de volgende redenen van mening dat deze ‘communicerende vaten’-theorie moet worden afgewezen en dat alle door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen dwingend zijn.

222.

In de eerste plaats leent het woordgebruik van het Hof bij zijn onderzoek van de strikte noodzakelijkheid van de regeling van richtlijn 2006/24 zich niet voor een dergelijke uitlegging. In het bijzonder zinspeelt het Hof nergens in de punten 60–68 van dat arrest op de een of andere mogelijkheid om een soepelere benadering van een van de drie door het Hof onderscheiden aspecten te ‘compenseren’ door een striktere benadering van de twee andere aspecten.

223.

De ‘communicerende vaten’-theorie lijkt mij in feite verwarring te scheppen tussen het noodzakelijkheidsvereiste en het evenredigheidsvereiste stricto sensu, dat niet door het Hof is onderzocht in het arrest DRI. Zoals ik heb aangegeven in punt 186 van deze conclusie bestaat het noodzakelijkheidsvereiste immers in de verwerping van iedere niet-doelmatige maatregel. Er kan in die context geen sprake zijn van ‘globale beoordeling’, ‘compensatie’ of ‘in evenwicht brengen’, methodes die pas aan de orde komen in het stadium van de evenredigheid stricto sensu.68.

224.

In de tweede plaats ondermijnt deze ‘communicerende vaten’-theorie het nuttig effect van de door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen, zodat personen wier gegevens zijn bewaard niet meer over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens, zoals punt 54 van dit arrest eist.

225.

De verderfelijke gevolgen van deze theorie kunnen eenvoudig worden geïllustreerd aan de hand van de volgende voorbeelden. Een nationale regeling die de toegang strikt beperkt tot de doelstelling van terrorismebestrijding en de bewaringstermijn tot drie maanden (strikte benadering van toegang en bewaringstermijn), maar de aanbieders niet verplicht de gegevens op het nationale grondgebied en in versleutelde vorm te bewaren (soepele benadering van de beveiliging), stelt de gehele bevolking bloot aan een hoog risico van onrechtmatige toegang tot de bewaarde gegevens. Evenzo stelt een nationale regeling die voorziet in een bewaringstermijn van drie maanden en een versleutelde bewaring van gegevens op het nationale grondgebied (strikte benadering van termijn en beveiliging), maar die alle ambtenaren toegang biedt tot de bewaarde gegevens (soepele benadering van de toegang) de gehele bevolking bloot aan een hoog risico van misbruik door nationale autoriteiten.

226.

In mijn ogen volgt uit deze voorbeelden dat het behoud van het nuttig effect van de door het Hof in de punten 60–68 van het arrest DRI vermelde waarborgen vereist dat elk van die waarborgen dwingend wordt geacht. Het EHRM heeft het fundamentele belang van deze waarborgen eveneens benadrukt in het recente arrest Szabó en Vissy/Hongarije, met uitdrukkelijke verwijzing naar het arrest DRI.69.

227.

In de derde plaats levert de toepassing van deze waarborgen door lidstaten die een algemene verplichting tot bewaring van gegevens wensen op te leggen, mijns inziens geen grote praktische problemen op. In feite lijken deze waarborgen mij in veel opzichten ‘minimaal’, zoals Watson heeft betoogd.

228.

Over een aantal van die waarborgen is voor het Hof gediscussieerd, omdat zij zouden ontbreken in de in de hoofdgedingen betrokken nationale regelingen.

229.

In de eerste plaats volgt uit de punten 61 en 62 van het arrest DRI dat de toegang tot en het latere gebruik van de bewaarde gegevens strikt gebonden moeten zijn aan het doel, nauwkeurig afgebakende ernstige criminaliteit voorkomen, opsporen of strafrechtelijk vervolgen.

230.

Volgens Tele2 Sverige en de Commissie is dat vereiste niet in acht genomen in de in zaak C-203/15 betrokken Zweedse regeling, die toegang tot bewaarde gegevens zou toestaan in het kader van de bestrijding van lichte criminaliteit. Een vergelijkbare kritiek is geuit door Brice en Lewis en door Watson op de in zaak C-698/15 betrokken regeling van het Verenigd Koninkrijk, die toegang zou toestaan ten behoeve van de bestrijding van lichte criminaliteit en zelfs bij het ontbreken van elk strafbaar feit.

231.

Ofschoon het niet aan het Hof staat om zich uit te spreken over de inhoud van die nationale regelingen, moet het wel de doelstellingen van algemeen belang aan te geven die een ernstige inmenging in de door de richtlijn en de artikelen 7 en 8 van het Handvest erkende rechten kunnen rechtvaardigen. Ik heb in het voorgaande reeds de redenen uiteengezet waarom ik van mening ben dat alleen de bestrijding van ernstige criminaliteit een dergelijke inmenging kan rechtvaardigen.70.

232.

In de tweede plaats moet, volgens punt 62 van het arrest DRI, de toegang tot bewaarde gegevens vooraf worden getoetst door een rechterlijke instantie of een onafhankelijke administratieve instantie waarvan de beslissing beoogt de toegang tot de gegevens en het gebruik ervan te beperken tot het strikt noodzakelijke voor de verwezenlijking van het nagestreefde doel. Die voorafgaande toetsing moet bovendien plaatsvinden naar aanleiding van een gemotiveerd verzoek van de autoriteiten, ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten.

233.

Volgens de opmerkingen van Tele2 Sverige en van de Commissie ontbreekt deze waarborg van onafhankelijke en voorafgaande toetsing gedeeltelijk in de in zaak C-203/15 betrokken Zweedse regeling. Hetzelfde geldt, volgens Brice en Lewis, Watson, en Open Rights Group en Privacy International, voor de in zaak C-698/15 betrokken regeling van het Verenigd Koninkrijk, hetgeen de regering van het Verenigd Koninkrijk niet heeft betwist.

234.

Ik zie geen enkele reden tot versoepeling van dit vereiste van voorafgaande toetsing door een onafhankelijke instantie, dat ontegenzeglijk voortvloeit uit het woordgebruik van het Hof in punt 62 van het arrest DRI.71. Allereerst wordt dit vereiste ingegeven door de ernst van de inbreuk en de risico's die worden veroorzaakt door het aanleggen van databestanden die nagenoeg de gehele bevolking bestrijken72.. Ik merk op dat een aantal deskundigen op het gebied van de bescherming van mensenrechten bij de bestrijding van terrorisme kritiek hebben geuit op de huidige trend om traditionele procedures van onafhankelijke toestemming en daadwerkelijk toezicht te vervangen door procedures waarbij inlichtingen- en politiediensten ‘zichzelf machtigen’ om gegevens te raadplegen.73.

235.

Vervolgens is een onafhankelijke en voorafgaande toetsing van de toegang tot gegevens noodzakelijk met het oog op een behandeling van geval tot geval van de in het licht van de grondrechten uiterst gevoelige gegevens waarvan in de onderhavige zaken sprake is, zoals gegevens die onder het beroepsgeheim vallen en gegevens waarmee bronnen van journalisten kunnen worden achterhaald, zoals de Law Society of England and Wales en de Franse en de Duitse regering hebben opgemerkt. Die aan de toegang voorafgaande toetsing is des te noodzakelijker in situaties waarin het technisch moeilijk is om al deze gegevens uit te sluiten in het stadium van de bewaring.74.

236.

Tot slot voeg ik hieraan toe dat, praktisch gezien, geen van de drie bij een toegangsverzoek betrokken partijen in staat is de toegang tot de bewaarde gegevens daadwerkelijk te toetsen. De bevoegde handhavingsautoriteiten hebben alle belang bij een verzoek om een zo ruim mogelijk toegang. De aanbieders, die geen inzage hebben in het onderzoeksdossier, kunnen niet nagaan of het toegangsverzoek is beperkt tot het strikt noodzakelijke. De personen wier gegevens worden geraadpleegd kunnen op geen enkele wijze weten of zij het voorwerp vormen van een dergelijke onderzoeksmaatregel, zelfs niet wanneer er sprake is van misbruik of onrechtmatig gebruik, zoals Watson en Brice en Lewis hebben opgemerkt. Deze configuratie van meespelende belangen vereist in mijn ogen de tussenkomst van een onafhankelijke instantie voorafgaand aan de raadpleging van de bewaarde gegevens, teneinde de personen wier gegevens worden bewaard te beschermen tegen ongerechtvaardigde toegang door de bevoegde autoriteiten.

237.

Dat gezegd hebbende lijkt het mij redelijk om aan te nemen dat concrete situaties van extreme spoed, ter sprake gebracht door de regering van het Verenigd Koninkrijk, een onmiddellijke toegang tot bewaarde gegevens door handhavingsautoriteiten kunnen rechtvaardigen, zonder voorafgaande toetsing, teneinde ernstige strafbare feiten te voorkomen of de daders van dergelijke strafbare feiten te vervolgen.75. Zo enigszins mogelijk moet worden vastgehouden aan het vereiste van voorafgaande toestemming en moet bij de onafhankelijke autoriteit worden voorzien in een spoedprocedure voor de behandeling van dit type toegangsverzoeken. Indien echter de indiening van een toegangsverzoek bij die instantie onverenigbaar lijkt met de extreme urgentie van de situatie, moeten de toegang tot en het gebruik van de gegevens a posteriori worden getoetst door die instantie, en wel zo spoedig mogelijk.

238.

In de derde plaats verplicht punt 68 van het arrest DRI de aanbieders de gegevens te bewaren op het grondgebied van de Unie, teneinde te waarborgen dat een onafhankelijke autoriteit toezicht houdt op de inachtneming van de in de punten 66 en 67 van dat arrest genoemde vereisten inzake bescherming en beveiliging, zoals wordt voorgeschreven door artikel 8, lid 3, van het Handvest

239.

Tele2 Sverige en de Commissie hebben aangevoerd dat de bewaring van gegevens op het nationale grondgebied niet is gewaarborgd in de in zaak C-203/15 betrokken Zweedse regeling. Dezelfde kritiek is naar voren gebracht door Brice en Lewis en door Watson met betrekking tot de in zaak C-698/15 betrokken regeling van het Verenigd Koninkrijk.

240.

Ik zie in dit verband, enerzijds, geen enkele reden om dit in punt 68 van het arrest DRI neergelegde vereiste af te zwakken, aangezien bewaring van gegevens buiten het grondgebied van de Unie de personen wier gegevens zijn bewaard niet het in richtlijn 2002/58 en in de artikelen 7, 8 en 52, lid 1, van het Handvest geboden beschermingsniveau kan garanderen.76.

241.

Het lijkt mij, anderzijds, redelijk om dit door het Hof in de context van richtlijn 2006/24 uitgedrukte vereiste af te stemmen op de context van de nationale regelingen en voor te schrijven dat de bewaring van gegevens dient plaats te vinden op het nationale grondgebied, zoals de Duitse en de Franse regering en de Commissie hebben aangevoerd. Ingevolge artikel 8, lid 3, van het Handvest dienen de lidstaten immers te garanderen dat een onafhankelijke autoriteit erop toeziet dat de aanbieders de in de nationale regeling opgenomen vereisten van bescherming en beveiliging naleven. Bij gebreke van coördinatie op Unieniveau kan het voor een dergelijke nationale autoriteit onmogelijk zijn haar toezichthoudende taken uit te oefenen op het grondgebied van een andere lidstaat.

242.

In de vierde plaats moeten de verwijzende rechters ten aanzien van de bewaringstermijn de door het Hof in de punten 63 en 64 van het arrest DRI geformuleerde criteria toepassen. Zij moeten bepalen of de bewaarde gegevens kunnen worden onderscheiden naargelang van hun nut en, in voorkomend geval, of de bewaringstermijn is aangepast op basis van dat criterium. Verder moeten zij nagaan of de bewaringstermijn is gegrond op objectieve criteria die kunnen waarborgen dat die termijn is beperkt tot het strikt noodzakelijke.

243.

Ik merk op dat het EHRM in het recente arrest Roman Zakharov/Rusland een bewaringstermijn van ten hoogste zes maanden redelijk heeft geoordeeld, maar wel betreurde dat een verplichting om gegevens die geen verband vertonen met het doel waarvoor zij zijn verzameld onverwijld te vernietigen ontbrak.77. Ik voeg daar in dit verband aan toe dat de in de hoofdgedingen betrokken nationale regelingen moeten voorzien in een verplichting om alle bewaarde gegevens onherstelbaar te vernietigen zodra zij niet meer strikt noodzakelijk zijn voor de bestrijding van ernstige criminaliteit. Deze verplichting moet niet alleen in acht worden genomen door de aanbieders die de gegevens bewaren, maar ook door de autoriteiten die toegang hebben gehad tot bewaarde gegevens.

244.

Gelet op het voorgaande ben ik van mening dat alle door het Hof in de punten 60–68 van het arrest DRI genoemde waarborgen een dwingend karakter hebben en bijgevolg samen moeten gaan met een algemene verplichting tot bewaring van gegevens, teneinde de inbreuk op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten te beperken tot het strikt noodzakelijke.

245.

Het staat aan de verwijzende rechters om na te gaan of al die waarborgen zijn opgenomen in elk van de in de hoofdgedingen betrokken nationale regelingen.

6. Evenredigheid, in een democratische samenleving, van een algemene verplichting tot bewaring van gegevens in het licht van de doelstelling van bestrijding van ernstige criminaliteit.

246.

Na beoordeling van de noodzakelijkheid van de in de hoofdgedingen betrokken nationale regelingen dienen de verwijzende rechters nog te toetsen of deze in een democratische samenleving evenredig zijn in het licht van de doelstelling van bestrijding van ernstige criminaliteit. Dit aspect is niet door het Hof onderzocht in het arrest DRI, aangezien de regeling van richtlijn 2006/24 de grenzen van het strikt noodzakelijke voor de bestrijding van ernstige criminaliteit overschreed.

247.

Dit vereiste van evenredigheid in een democratische samenleving — of evenredigheid ‘stricto sensu’ — vloeit voort uit artikel 15, lid 1, van richtlijn 2002/58, uit artikel 52, lid 1, van het Handvest en uit vaste rechtspraak. Volgens die vaste rechtspraak kan een maatregel die inbreuk maakt op grondrechten slechts worden geacht evenredig te zijn indien de veroorzaakte nadelen niet onevenredig zijn aan het nagestreefde doel.78.

248.

Anders dan de vereisten van redelijkheid en noodzakelijkheid van de betrokken maatregel, die een waardering van de doeltreffendheid ten opzichte van het nagestreefde doel omvatten, bestaat het evenredigheidsvereiste stricto sensu in het in evenwicht brengen van enerzijds de uit die maatregel voortvloeiende voordelen voor het nagestreefde legitieme doel, en anderzijds de eruit voortvloeiende nadelen voor de in een democratische samenleving erkende grondrechten.79. Dit vereiste zet aldus een discussie in gang over de waarden die in een democratische samenleving moeten gelden, en uiteindelijk over het type samenleving waarin wij wensen te leven.80.

249.

Bijgevolg, en zoals ik heb aangegeven in punt 223 van deze conclusie, dient de globale beoordeling van de betrokken regeling plaats te vinden in het stadium van het onderzoek van de evenredigheid in strikte zin, en niet in het stadium van het onderzoek van de noodzakelijkheid, zoals de voorstanders van de ‘communicerende vaten’‒theorie hebben aangevoerd.81.

250.

Volgens de in punt 247 van deze conclusie weergegeven rechtspraak moet een evenwicht worden gevonden tussen de voor- en de nadelen, in een democratische samenleving, van een algemene verplichting tot bewaring van gegevens. Deze voor- en nadelen zijn nauw verbonden met het wezenlijke kenmerk van een dergelijke verplichting, waarvan zij als het ware de zon- en de schaduwzijde vertegenwoordigen, namelijk het feit dat die verplichting alle communicaties van alle gebruikers betreft zonder dat enige betrokkenheid bij een ernstig strafbaar feit is vereist.

251.

Ik heb in de punten 178–183 van deze conclusie reeds de voordelen uiteengezet die de bewaring van gegevens van alle op het nationale grondgebied gevoerde communicaties meebrengt voor de bestrijding van ernstige criminaliteit.

252.

Anderzijds vloeien de nadelen van een algemene verplichting tot bewaring van gegevens voort uit het feit dat de overgrote meerderheid van de bewaarde gegevens personen betreft die nooit op enigerlei wijze betrokken zullen zijn bij een ernstig strafbaar feit. Het is in dit verband van belang te preciseren wat de aard is van de nadelen die deze personen ervan ondervinden. Die aard verschilt echter naargelang van de mate van inmenging in hun grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens.

253.

In het kader van een ‘individuele’ inmenging, die één bepaalde persoon betreft, zijn de nadelen die voortvloeien uit een algemene verplichting tot bewaring van gegevens zeer helder beschreven door advocaat‒generaal Cruz Villalón in de punten 72–74 van zijn conclusie in de zaak DRI.82. In zijn woorden kan de exploitatie van deze gegevens ‘een belangrijk deel van het gedrag van een persoon, dat strikt onder zijn privéleven valt, op getrouwe en uitputtende wijze in kaart […] brengen of zelfs een volledig en precies beeld […] schetsen van zijn privé‒identiteit’.

254.

Met andere woorden, een algemene verplichting tot bewaring van gegevens kan, in een individuele context, net zulke ernstige inmengingen veroorzaken als gerichte controlemaatregelen, daaronder begrepen die welke de inhoud van de gevoerde communicaties onderscheppen.

255.

Ofschoon de ernst van dergelijke individuele inmengingen niet kan worden onderschat, ben ik niettemin van mening dat de specifieke risico's die door een algemene verplichting tot bewaring van gegevens worden veroorzaakt aan het licht komen bij inmengingen ‘op grote schaal’.

256.

Immers, anders dan gerichte controlemaatregelen kan een dergelijke verplichting inmengingen op grote schaal, dat wil zeggen inmengingen die een substantieel deel van of zelfs een gehele relevante bevolkingsgroep treffen, aanzienlijk bevorderen, zoals de volgende voorbeelden illustreren.

257.

Stel, in de eerste plaats, dat een persoon die toegang heeft tot bewaarde gegevens van plan is binnen de bevolking van de lidstaat alle personen met een psychische stoornis te identificeren. De evaluatie van de inhoud van alle op het nationale grondgebied gevoerde communicaties zou een enorme inzet van middelen vergen. Daarentegen kunnen door de exploitatie van databestanden met communicatiegegevens onmiddellijk alle individuen worden geïdentificeerd die gedurende de bewaringstermijn contact hebben gehad met een psycholoog.83. Ik voeg hieraan toe dat deze techniek kan worden uitgebreid tot elke in een lidstaat geregistreerde medisch specialisme.84.

258.

Stel, in de tweede plaats, dat diezelfde persoon degenen wil identificeren die het niet eens zijn met het beleid van de zittende regering. De evaluatie die dat doel zou moeten worden verricht van de inhoud van communicaties zou wederom een enorme inzet van middelen vergen. Daarentegen kunnen door de exploitatie van communicatiegegevens alle personen worden geïdentificeerd die staan ingeschreven op verzendlijsten voor e‒mailberichten waarin het regeringsbeleid wordt bekritiseerd. Die gegevens zouden het bovendien mogelijk maken personen te identificeren die deelnemen aan openbare antiregeringsmanifestaties.85.

259.

Ik wijs erop dat de risico's die verband houden met de toegang tot communicatiegegevens (of ‘metagegevens’) gelijk aan of groter kunnen zijn dan die welke voortvloeien uit de toegang tot de inhoud van die communicaties, zoals is opgemerkt door Open Rights Group en Privacy International, de Law Society of England and Wales, alsook door de United Nations High Commissioner for Human Rights in een recent rapport.86. In het bijzonder, en zoals de hiervoor weergegeven voorbeelden aantonen, kunnen op basis van ‘metagegevens’ vrijwel onmiddellijk hele bevolkingsgroepen worden gecategoriseerd, hetgeen niet mogelijk is op basis van de inhoud van communicaties.

260.

Ik voeg hieraan toe dat de risico's van ongerechtvaardigde of onrechtmatige toegang tot bewaarde gegevens zeker niet theoretisch zijn. Enerzijds moet het risico van ongerechtvaardigde toegang door bevoegde autoriteiten in verband worden gebracht met het extreem hoge aantal toegangsverzoeken dat is genoemd in de bij het Hof ingediende opmerkingen. In de context van de Zweedse regeling heeft Tele2 Sverige aangegeven ongeveer 10 000 toegangsverzoeken per maand te ontvangen, in welk cijfer niet zijn begrepen de verzoeken die worden ontvangen door andere aanbieders die op het Zweedse grondgebied actief zijn. Wat de regeling van het Verenigd Koninkrijk betreft heeft Watson cijfers genoemd uit een officieel rapport dat melding maakt van 517 236 schriftelijke toestemmingen en 55 346 mondelinge toestemmingen, wegens spoed, enkel in het jaar 2014. Anderzijds is het risico van onrechtmatige toegang, door wie dan ook, onlosmakelijk verbonden met het bestaan van op informatiedragers bewaarde gegevens.87.

261.

Het staat mijns inziens aan de verwijzende rechters om te beoordelen of de nadelen die de in de hoofdgedingen betrokken algemene verplichtingen tot bewaring van gegevens veroorzaken in een democratische samenleving niet onevenredig zijn aan de nagestreefde doelen, gelet op de in punt 247 van deze conclusie weergegeven rechtspraak. In het kader van deze beoordeling moeten die rechters de aan een dergelijke verplichting verbonden risico's en voordelen tegen elkaar af wegen, namelijk:

—: enerzijds, de voordelen van het verlenen van een beperkt vermogen om het verleden te lezen aan de met de bestrijding van ernstige criminaliteit belaste autoriteiten88. en,
—: anderzijds, de ernstige risico's die in een democratische samenleving voortvloeien uit het vermogen om het privéleven van een persoon in kaart te brengen en om een hele bevolkingsgroep te categoriseren.

262.

Die beoordeling moet plaatsvinden met inachtneming van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen. Ik benadruk in dit verband dat de door het Hof in de punten 60–68 van het arrest DRI genoemde dwingende waarborgen slechts minimumwaarborgen vormen om de inbreuk op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten te beperken tot het strikt noodzakelijke. Het is bijgevolg niet uitgesloten dat een nationale regeling die al die waarborgen bevat niettemin onevenredig moet worden geacht in een democratische samenleving vanwege de wanverhouding tussen de ernstige risico's die in een democratische samenleving door die verplichting worden veroorzaakt en de voordelen die eruit voortvloeien voor de bestrijding van ernstige criminaliteit.

VI — Conclusie

263.

Gelet op het voorgaande geef ik het Hof in overweging de prejudiciële vragen van de Kammarrätten i Stockholm (hogerberoepsrechter in bestuurszaken, Stockholm, Zweden) en de Court of Appeal (England & Wales) (Civil Division) [hogerberoepsrechter (Engeland & Wales) sector civiel, Verenigd Koninkrijk] als volgt te beantwoorden:

‘Artikel 15, lid 1, van richtlijn 2002/58/CE van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn ‘privacy en elektronische communicatie’), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, en de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie moeten aldus worden uitgelegd dat zij zich niet ertegen verzetten dat een lidstaat aanbieders van elektronischecommunicatiediensten verplicht om alle gegevens betreffende de door de gebruikers van hun diensten gevoerde communicaties te bewaren indien is voldaan aan alle hiernavolgende vereisten, hetgeen door de verwijzende rechters moet worden getoetst in het licht van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen:

—: die verplichting en de waarborgen waarmee zij gepaard gaat moeten zijn voorzien in wettelijke of bestuursrechtelijke maatregelen die voldoende toegankelijk en voorzienbaar zijn en naar behoren bescherming bieden tegen willekeur;
—: die verplichting en de waarborgen waarmee zij gepaard gaat moeten de wezenlijke inhoud van de in de artikelen 7 en 8 van het Handvest van de grondrechten erkende rechten eerbiedigen;
—: die verplichting moet strikt noodzakelijk zijn voor de bestrijding van ernstige criminaliteit, hetgeen impliceert dat geen enkele andere maatregel of combinatie van maatregelen net zo doeltreffend kan zijn voor de bestrijding van ernstige criminaliteit, maar minder inbreuk maakt op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest erkende rechten;
—: die verplichting moet gepaard gaan met alle door het Hof in de punten 60–68 van het arrest van 8 april 2014, Digital Rights Ireland e.a. (C-293/12 en C-594/12, EU:C:2014:238) genoemde waarborgen inzake de toegang tot de gegevens, de bewaringstermijn en de bescherming en beveiliging van de gegevens, teneinde de inbreuk op de door richtlijn 2002/58 en de artikelen 7 en 8 van het Handvest van de grondrechten erkende rechten te beperken tot het strikt noodzakelijke, en
—: die verplichting moet in een democratische samenleving evenredig zijn aan de doelstelling van bestrijding van ernstige criminaliteit, hetgeen betekent dat de ernstige risico's die in een democratische samenleving door die verplichting worden veroorzaakt niet onevenredig mogen zijn aan de voordelen die eruit voortvloeien voor de bestrijding van ernstige criminaliteit.’

Toon alle voetnoten

Voetnoten

Voetnoten Conclusie 19‑07‑2016

Oorspronkelijke taal: Frans.

‘Als mensen engelen waren zou er geen overheid nodig zijn. Als engelen zouden regeren over mensen zou er noch extern noch intern toezicht op de overheid nodig zijn. Bij de afbakening van de grenzen van een bestuur van mensen over mensen bestaat de grote moeilijkheid hierin: de overheid moet eerst in staat worden gesteld haar burgers te controleren en vervolgens worden verplicht zichzelf te controleren’: Madison, J., ‘Federalist No. 51’, in Hamilton, A., Madison, J. en Jay, J., ed. Genovese, M. A., The Federalist Papers, Palsgrave Macmillan, New York, 2009, blz. 120, vrije vertaling. Madison was een van de belangrijkste auteurs en een van de 39 ondertekenaars van de Grondwet van de Verenigde Staten (1787). Hij werd vervolgens de vierde president van de Verenigde Staten (van 1809 tot 1817).

Dat beperkte vermogen om ‘het verleden te lezen’ kan met name zeer nuttig blijken bij de opsporing van mogelijke medeplichtigen: zie de punten 178–184 van deze conclusie.

Zie de punten 252–261 van deze conclusie.

Richtlijn van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11).

Arrest van 8 april 2014 (C-293/12 en C-594/12, EU:C:2014:238).

Richtlijn van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB 2006, L 105, blz. 54).

Die gelijkheid is begrijpelijk aangezien die nationale regelingen tot doel hadden die, thans ongeldige, richtlijn om te zetten.

Zie voor de beschrijving van de in de hoofdgedingen betrokken nationale regelingen de punten 11–13 en 36 van deze conclusie.

10.

Advies 2/13 van 18 december 2014 (EU:C:2014:2454, punt 179) en arrest van 15 februari 2016, N. (C-601/15 PPU, EU:C:2016:84, punt 45 en aldaar aangehaalde rechtspraak).

11.

Overeenkomstig artikel 6, lid 1, derde alinea, VEU en artikel 52, lid 7, van het Handvest moet de toelichting bij het Handvest voor de uitlegging ervan in aanmerking worden genomen. (zie arresten van 26 februari 2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, punt 20, en van 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punt 47). Volgens die toelichting correspondeert artikel 7 van het Handvest met artikel 8 van het EVRM, terwijl artikel 8 van het Handvest met geen enkel recht van het EVRM correspondeert.

12.

Zie met name arresten van 9 november 2010, Volker und Markus Schecke en Eifert (C-92/09 en C-93/09, EU:C:2010:662, punt 40 en aldaar aangehaalde rechtspraak) en van 24 april 2012, Kamberaj (C-571/10, EU:C:2012:233, punt 42 en aldaar aangehaalde rechtspraak).

13.

Zie met name arrest van 16 september 1982, Vlaeminck (132/81, EU:C:1982:294, punt 13); beschikking van 24 maart 2011, Abt e.a. (C-194/10, EU:C:2011:182, punten 36 en 37 en aldaar aangehaalde rechtspraak) en arrest van 24 oktober 2013, Stoilov i Ko (C-180/12, EU:C:2013:693, punt 46 en aldaar aangehaalde rechtspraak).

14.

Zie de punten 126–262 van deze conclusie.

15.

Zie de punten 123–125 van deze conclusie.

16.

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

17.

Arrest van 6 november 2003, Lindqvist (C-101/01, EU:C:2003:596, punten 43 en 44).

18.

Arrest van 10 februari 2009 (C-301/06, EU:C:2009:68).

19.

Arrest van 10 februari 2009, Ierland/Parlement en Raad (C-301/06, EU:C:2009:68, punt 80).

20.

Aangezien richtlijn 2002/58 kan worden gekwalificeerd als ‘lex specialis’ ten opzichte van richtlijn 95/46 (zie in dit verband artikel 1, lid 2, van richtlijn 2002/58) is het mijns inziens niet nodig de verenigbaarheid na te gaan van een algemene verplichting tot bewaring van gegevens met de regeling van richtlijn 95/46, die bovendien niet wordt genoemd in de aan het Hof gestelde vragen. Volledigheidshalve wil ik niettemin preciseren dat de bewoordingen van artikel 13, lid 1, van richtlijn 95/46 de lidstaten meer handelingsvrijheid bieden dan die van artikel 15, lid 1, van richtlijn 2002/58, dat de draagwijdte ervan nader bepaalt in het kader van de levering van voor het publiek toegankelijke elektronischecommunicatiediensten. Uit het feit dat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten de mogelijkheid biedt een algemene verplichting tot bewaring van gegevens vast te stellen, leid ik af dat artikel 13, lid 1, van richtlijn 95/46 die mogelijkheid ook biedt.

21.

Zie de punten 126–262 van deze conclusie.

22.

Uit vaste rechtspraak van het Hof volgt namelijk dat de in de rechtsorde van de Unie gewaarborgde grondrechten toepassing kunnen vinden in alle situaties die door het Unierecht worden beheerst, maar niet daarbuiten. In zoverre heeft het Hof reeds eraan herinnerd dat het een nationale regeling die niet binnen het kader van het Unierecht valt, niet aan het Handvest kan toetsen. Wanneer daarentegen een nationale regeling binnen het toepassingsgebied van het Unierecht valt, moet het Hof, ingeval het om een prejudiciële beslissing wordt verzocht, alle uitleggingsgegevens verschaffen die de nationale rechter nodig heeft om te kunnen beoordelen of deze regeling verenigbaar is met de grondrechten waarvan het de eerbiediging verzekert (zie arrest van 26 februari 2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, punt 19 en aldaar aangehaalde rechtspraak).

23.

Zie punt 88 van deze conclusie.

24.

Zie de punten 90–97 van deze conclusie.

25.

Meer in het bijzonder bepaalt artikel 51, lid 1, tweede zin, van het Handvest dat de lidstaten de door het Handvest gewaarborgde rechten moeten eerbiedigen wanneer zij het recht van de Unie ten uitvoer brengen.

26.

Zie voor de omvang van die uitzondering de punten 90–97 van deze conclusie.

27.

Zie de punten 185–262 van deze conclusie.

28.

Zie met name United Nations Commission on Human Rights, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, 17 april 2013, A/HRC/23/40, nr. 33: ‘Door technologische ontwikkelingen kunnen staten controleactiviteiten verrichten die niet langer zijn beperkt wat schaal of duur betreft. […] Bijgevolg beschikken staten thans over meer middelen dan ooit om gelijktijdig, gericht en op grote schaal controleactiviteiten uit te oefenen die inbreuk maken op het privéleven […]’. Zie ook nr. 50: ‘In algemene zin heeft de wetgeving het tempo van de technologische veranderingen niet bijgehouden. In de meeste staten zijn de juridische normen ofwel niet-bestaand, ofwel ontoereikend om het hoofd te bieden aan de hedendaagse omstandigheden waarin de controle op communicaties plaatsvindt […]’.

29.

Ik kom niettemin nog terug op de specifieke risico's van het aanleggen van omvangrijke databestanden, in het kader van de bespreking van het vereiste van evenredigheid, in een democratische samenleving, van algemene verplichtingen tot bewaring van gegevens als in de hoofdgedingen aan de orde: Zie de punten 252–261 van deze conclusie.

30.

Zie in dit verband het door Open Rights Group en Privacy International aangevoerde argument dat is samengevat in punt 104 van deze conclusie.

31.

Ik vind bevestiging voor die cumulatieve aard in de laatste zin van artikel 15, lid 1, van richtlijn 2002/58, volgens welke ‘[a]lle in dit lid bedoelde maatregelen […] in overeenstemming [dienen] te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [VEU]’. Volgens artikel 6, lid 1, VEU ‘erkent [de Unie] de rechten, vrijheden en beginselen die zijn vastgesteld in het [Handvest], dat dezelfde juridische waarde als de Verdragen heeft’.

32.

Uit deze cumulatieve aard volgt logischerwijs dat, voor zover de vereisten van deze twee bepalingen elkaar overlappen, het meest strikte van de twee toepassing moet vinden of, met andere woorden, het vereiste dat de betrokken rechten het best beschermt.

33.

Arrest van 17 december 2015 (C-419/14, EU:C:2015:832).

34.

Zie met name arresten van 17 oktober 2013, Schwarz (C-291/12, EU:C:2013:670, punt 35) (inmenging voorzien in een Europese verordening); van 27 mei 2014, Spasic (C-129/14 PPU, EU:C:2014:586, punt 57) (inmenging voorzien in de overeenkomst ter uitvoering van het tussen de regeringen van de staten van de Benelux Economische Unie, de Bondsrepubliek Duitsland en de Franse Republiek op 14 juni 1985 te Schengen gesloten akkoord betreffende de geleidelijke afschaffing van de controles aan de gemeenschappelijke grenzen, ondertekend te Schengen op 19 juni 1990 en in werking getreden op 26 maart 1995); van 6 oktober 2015, Delvigne (C-650/13, EU:C:2015:648, punt 47) (inmenging voorzien in de Franse kieswet en in het Franse wetboek van strafrecht), en van 17 december 2015, Neptune Distribution (C-157/14, EU:C:2015:823, punt 69) (inmenging voorzien in een Europese verordening en in een Europese richtlijn).

35.

Arrest van 1 juli 2010, Knauf Gips/Commissie (C-407/08 P, EU:C:2010:389, punten 87–92) (inmenging zonder wettelijke grondslag).

36.

C-70/10, EU:C:2011:255, punten 94–100.

37.

Zie met name EHRM, 14 september 2010, Sanoma Uitgevers B.V./Nederland, CE:ECHR:2010:0914JUD003822403, § 83.

38.

Zie met name EHRM, 26 maart 1987, Leander/Zweden, CE:ECHR:1987:0326JUD000924881, § 50–51; EHRM, 26 oktober 2000, Hassan en Tchaouch/Bulgarije, CE:ECHR:2000:1026JUD003098596, § 84; EHRM, 4 december 2008, S. en Marper/Verenigd Koninkrijk, CE:ECHR:2008:1204JUD003056204, § 95; EHRM, 14 september 2010, Sanoma Uitgevers B.V./Nederland, CE:ECHR:2010:0914JUD003822403, § 81–83, en EHRM, 31 maart 2016, Stoyanov e.a./Bulgarije, CE:ECHR:2016:0331JUD005538810, § 124–126.

39.

Met name kan het Hof mijns inziens geen uitlegging aan dit vereist geven die ruimer is dan die van het EHRM, aangezien dat tot gevolg zou hebben dat meer gevallen van inmenging zouden worden toegestaan dan mogelijk is op basis van de uitlegging van dit vereiste door het EHRM.

40.

Deze uitdrukking ‘bij wet gesteld’ wordt gebruikt in artikel 8, lid 2 (recht op eerbiediging van het privéleven en van het familie- en gezinsleven), in artikel 9, lid 2 (vrijheid van gedachte, geweten en godsdienst), in artikel 10, lid 2 (vrijheid van meningsuiting), en in artikel 11, lid 2 (vrijheid van vereniging en vergadering) van het EVRM. In de context van het Handvest is artikel 52, lid 1, van toepassing op elke beperking van de erin erkende rechten, gesteld dat een dergelijke beperking is toegestaan.

41.

Zie in die zin Peers, S., ‘Article 52 — Scope of guaranteed rights’, in Peers, S., e.a., The EU Charter of Fundamental Rights: a Commentary, Oxford, OUP, 2014, nr. 52.39.

42.

Zie met name arresten van 30 mei 2013, Asbeek Brusse en de Man Garabito (C-488/11, EU:C:2013:341, punt 26); van 24 juni 2015, Hotel Sava Rogaška (C-207/14, EU:C:2015:414, punt 26), en van 26 februari 2015, Christie's France (C-41/14, EU:C:2015:119, punt 26).

43.

Zie met name EHRM, 14 september 2010, Sanoma Uitgevers B.V./Nederland, CE:ECHR:2010:0914JUD003822403, § 83: ‘[de in de artikelen 8–11 EVRM opgenomen term ‘wet’ omvat] zowel het ‘geschreven recht’, waaronder regelgeving van lagere rang en regelgevingshandelingen die door beroepsorganisaties zijn vastgesteld in het kader van hun door de wetgever gedelegeerde normatieve bevoegdheid, als het ‘ongeschreven recht’. De term ‘wet’ kan derhalve zowel het geschreven recht als het ‘rechtersrecht’ omvatten.’

44.

Een dergelijk vereiste blijkt niet uit de bewoordingen van artikel 15, lid 1, van richtlijn 2002/58, noch uit de systematiek van die richtlijn, zoals ik in de punten 99–116 van deze richtlijn heb uiteengezet.

45.

Zie de beschrijving van de in de hoofdgedingen betrokken nationale regelingen in, met name, de punten 13 en 36 van deze conclusie.

46.

Arrest DRI, punt 54. Zie de beschrijving van de in de hoofdgedingen betrokken nationale regelingen in de punten 29–33, 45 en 46 van deze conclusie.

47.

Arrest DRI, punt 42 en aldaar aangehaalde rechtspraak.

48.

Arrest van 29 januari 2008 (C-275/06, EU:C:2008:54, punten 50–54).

49.

Arrest van 29 januari 2008 (C-275/06, EU:C:2008:54).

50.

Zie de punten 252–261 van deze conclusie.

51.

Zie voor de noodzakelijkheid de punten 185–245 van deze conclusie.

52.

Zie voor de evenredigheid stricto sensu de punten 246–262 van deze conclusie.

53.

De Commissie heeft eveneens opgemerkt dat de toegevoegde waarde van een algemene verplichting tot bewaring van gegevens ten opzichte van een gerichte bewaring van gegevens ligt in dat beperkte vermogen om het verleden te lezen: zie Commission Staff Working Document, bijlage bij het richtlijnvoorstel dat heeft geleid tot de vaststelling van richtlijn 2006/24, SEC(2005) 1131, 21 september 2005, nr. 3.6, ‘Data Preservation versus Data Retention’: ‘[W]ith only data preservation as a tool, it is impossible for investigators to go back in time. Data preservation is only useful as of the moment when suspects have been identified — data retention is indispensable in many cases to actually identify those suspects’.

54.

De Franse regering verwijst in dit verband naar het rapport van de Conseil d'État, Le numérique et les droits fondamentaux, 2014, blz. 209 en 210. De Conseil d’État (Frankrijk) betoogt hierin dat een systeem van gerichte controlemaatregelen ‘vanuit het oogpunt van de nationale veiligheid en de opsporing van daders van strafbare feiten veel minder doeltreffend zou zijn dan een systematische bewaring. Het zou immers achteraf geen enkele toegang bieden tot uitwisselingen die hebben plaatsgevonden vóórdat de autoriteit een bedreiging of strafbaar feit vaststelde: de werking ervan zou derhalve afhangen van het vermogen van de autoriteiten om te anticiperen op de identiteit van personen wier verbindingsgegevens van nut zouden kunnen zijn, hetgeen niet mogelijk is in het kader van het opsporingsonderzoek. In het geval van een ernstig misdrijf, bijvoorbeeld, zouden de opsporingsdiensten geen toegang kunnen krijgen tot eerdere communicaties, die echter voor de vaststelling van de identiteit van de dader en zijn medeplichtigen waardevol en soms zelfs onontbeerlijk zijn, zoals een aantal recente terroristische aanslagen heeft aangetoond. Op het gebied van de voorkoming van inbreuken op de nationale veiligheid kunnen met de nieuwe technische programma's slechts zwakke signalen worden opgespoord, hetgeen onverenigbaar is met het idee van pre-targeting van gevaarlijke personen’.

55.

Commission Staff Working Document, bijlage bij het richtlijnvoorstel dat heeft geleid tot de vaststelling van richtlijn 2006/24, SEC(2005) 1131, 21 september 2005, nr. 1.2, ‘The importance of traffic data for law enforcement’.

56.

Zie met name arresten van 22 januari 2013, Sky Österreich (C-283/11, EU:C:2013:28, punten 54–57); van 13 november 2014, Reindl (C-443/13, EU:C:2014:2370, punt 39), en van 16 juli 2015, CHEZ Razpredelenie Bulgaria (C-83/14, EU:C:2015:480, punten 120–122). Zie binnen de doctrine met name Pirker, B., Proportionality Analysis and Models of Judicial Review, Europa Law Publishing, Groningen, 2013, blz. 29: ‘Under a necessity test, the adjudicator examines whether there exists an alternative measure which achieves the same degree of satisfaction for the first value while entailing a lower degree of non-satisfaction of the second value’.

57.

Zie Rivers, J., ‘Proportionality and variable intensity of review’, 65(1) Cambridge Law Journal (2006) 174, blz. 198: ‘The test of necessity thus expresses the idea of efficiency or Pareto-optimality. A distribution is efficient or Pareto-optimal if no other distribution could make at least one person better off without making any one else worse off. Likewise an act is necessary if no alternative act could make the victim better off in terms of rights-enjoyment without reducing the level of realization of some other constitutional interest.’

58.

Zie over deze twee componenten van de noodzakelijkheidstoets Barak, A., Proportionality: Constitutional Rights and their Limitations, Cambridge University Press, Cambridge, 2012, blz. 323–331.

59.

Zie met name arresten van 9 november 2010, Volker und Markus Schecke en Eifert (C-92/09 en C-93/09, EU:C:2010:662, punten 77 en 86) en van 7 november 2013, IPI (C-473/12, EU:C:2013:715, punt 39).

60.

Zie de punten 117–125 van deze conclusie.

61.

Zie de punten 216–245 van deze conclusie.

62.

Zie arrest DRI, punt 65: ‘Vastgesteld moet dus worden dat deze richtlijn een zeer ruime en bijzonder zware inmenging in deze fundamentele rechten in de rechtsorde van de Unie impliceert, zonder dat deze inmenging nauwkeurig is omkaderd door bepalingen die kunnen waarborgen dat zij daadwerkelijk beperkt is tot het strikt noodzakelijke’ (cursivering van mij).

63.

Arrest van 6 oktober 2015, Schrems (C-362/14, EU:C:2015:650).

64.

Zie de punten 178–183 van deze conclusie.

65.

Zie Commissaris voor de Rechten van de Mens van de Raad van Europa, ‘Issue paper on the rule of law on the Internet and in the wider digital world’, december 2014, CommDH/IssuePaper(2014)1, blz. 115; United Nations Human Rights Counsel, Report of the United Nations High Commissioner for Human Rights on the right to privacy in the digital age, 30 juni 2014, A/HRC/27/37, nr. 26; United Nations General Assembly, Report of the Special Rapporteur on promotion and protection of human rights while countering terrorism, 23 september 2014, A/69/397, nrs. 18 en 19.

66.

Deze opmerking betreft uitsluitend algemene verplichtingen tot bewaring van gegevens (die eenieder kunnen aangaan los van elke betrokkenheid bij een ernstig strafbaar feit) en niet-gerichte controlemaatregelen (die personen betreffen van wie vooraf is vastgesteld dat zij betrokken zijn bij een ernstig strafbaar feit): zie voor dit onderscheid de punten 178–183 van deze conclusie.

67.

De Duitse regering heeft op de pleitzitting met name aangegeven dat het Duitse parlement e-mailberichten heeft uitgesloten van de door de Duitse wetgeving opgelegde bewaringsverplichting, maar dat die regeling geldt voor alle gebruikers op het gehele nationale grondgebied.

68.

Zie Barak, A., Proportionality: Constitutional Rights and their Limitations, Cambridge University Press, Cambridge, 2012, blz. 344: ‘The first three components of proportionality deal mainly with the relation between the limiting law's purpose and the means to fulfil that purpose. […] Accordingly, those tests are referred to as means-end analysis. They are not based on balancing. The test of proportionality stricto sensu is different. […] It focuses on the relation between the benefit in fulfilling the law's purpose and the harm caused by limiting the constitutional right. It is based on balancing’ (cursivering van mij).

69.

EHRM, 12 januari 2016, Szabó en Vissy/Hongarije, CE:ECHR:2016:0112JUD003713814, § 68: ‘Indeed, it would defy the purpose of government efforts to keep terrorism at bay, thus restoring citizens' trust in their abilities to maintain public security, if the terrorist threat were paradoxically substituted for by a perceived threat of unfettered executive power intruding into citizens' private spheres by virtue of uncontrolled yet far-reaching surveillance techniques and prerogatives. In this context the Court also refers to the observations made by the Court of Justice of the European Union and, especially, the United Nations Special Rapporteur, emphasizing the importance of adequate legislation of sufficient safeguards in the face of the authorities' enhanced technical possibilities to intercept private information.’

70.

Zie de punten 170–173 van deze conclusie.

71.

Ik preciseer niettemin dat dit vereiste van voorafgaande en onafhankelijke toetsing mijns inziens niet kan worden gebaseerd op artikel 8, lid 3, van het Handvest, aangezien het Handvest als zodanig niet van toepassing is op nationale bepalingen die de toegang tot bewaarde gegevens regelen: Zie de punten 123–125 van deze conclusie.

72.

Zie de punten 252–261 van deze conclusie.

73.

United Nations Council, Report of the Special Rapporteur on promotion and protection of human rights while countering terrorism, 28 december 2009, A/HRC/13/37, nr. 62: ‘Er mag geen enkel geheim controlesysteem bestaan dat niet onder supervisie staat van een instantie die doeltreffend toezicht uitoefent, noch enige inmenging waarvoor geen toestemming is verleend door een onafhankelijk orgaan’ (zie ook nr. 51). Zie eveneens United Nations General Assembly, Report of the Special Rapporteur on promotion and protection of human rights while countering terrorism, 23 september 2014, A/69/397, nr. 61.

74.

Zie punt 212 van deze conclusie. Met betrekking tot bronnen van journalisten heeft het EHRM gewezen op de noodzaak van voorafgaande toestemming door een onafhankelijke instantie, aangezien een toetsing a posteriori de vertrouwelijkheid van dergelijke bronnen niet kan herstellen: zie EHRM, 22 november 2012, Telegraaf Media Nederland Landelijke Media B.V. e.a./Nederland, CE:ECHR:2012:1122JUD003931506, § 101 en EHRM, 12 januari 2016, Szabó en Vissy/Hongarije, CE:ECHR:2016:0112JUD003713814, § 77. In het arrest Kopp/Zwitserland, dat betrekking had op het afluisteren van telefoonlijnen van een advocaat, bekritiseerde het EHRM het feit dat een overheidsambtenaar was belast met het filteren van informatie die onder het beroepsgeheim viel, zonder dat er sprake was van toetsing door een onafhankelijke rechter: zie EHRM, 25 maart 1998, Kopp/Zwitserland, CE:ECHR:1998:0325JUD002322494, § 74.

75.

Zie in dit verband de in punt 22 van deze conclusie beschreven procedure. Ik wijs erop dat het Hof deze problematiek niet heeft behandeld in het arrest DRI.

76.

Zie in dit verband arrest van 6 oktober 2015, Schrems (C-362/14, EU:C:2015:650).

77.

Zie in dit verband EHRM, 4 december 2015, Roman Zakharov/Rusland, CE:ECHR:2015:1204JUD004714306, § 254 en 255. Volgens het Russische recht moesten onderschepte gegevens worden vernietigd na een bewaringstermijn van zes maanden indien de betrokken persoon niet was beschuldigd van een strafbaar feit. Het EHRM oordeelde dat de maximale bewaringstermijn van zes maanden die in het Russische recht voor dergelijke gegevens gold redelijk was. Het betreurde echter het ontbreken van een verplichting om gegevens die geen enkel verband vertonen met het doel waarvoor zij zijn verzameld onverwijld te vernietigen en preciseerde dat de automatische bewaring, gedurende zes maanden, van gegevens die kennelijk zonder enig belang waren, niet gerechtvaardigd kon worden geacht in het licht van artikel 8 EVRM.

78.

Zie met name arresten van 15 februari 2016, N. (C-601/15 PPU, EU:C:2016:84, punt 54; de noodzakelijkheid is onderzocht in de punten 56–67, de evenredigheid in de punten 68 en 69); van 16 juli 2015, CHEZ Razpredelenie Bulgaria (C-83/14, EU:C:2015:480, punt 123; de noodzakelijkheid is onderzocht in de punten 120–122, de evenredigheid in de punten 123–127), en van 22 januari 2013, Sky Österreich (C-283/11, EU:C:2013:28, punt 50; de noodzakelijkheid is onderzocht in de punten 54–57, de evenredigheid in de punten 58–67).

79.

Zie Rivers J., ‘Proportionality and variable intensity of review’, 65(1) Cambridge Law Journal (2006) 174, blz. 198: ‘It is vital to realise that the test of balance has a totally different function from the test of necessity. The test of necessity rules out inefficient human rights limitations. It filters out cases in which the same level of realisation of a legitimate aim could be achieved at less cost to rights. By contrast, the test of balance is strongly evaluative. It asks whether the combination of certain levels of rights-enjoyment combined with the achievement of other interests is good or acceptable.’

80.

Zie Pirker B., Proportionality Analysis and Models of Judicial Review, Europa Law Publishing, Groningen, 2013, blz. 30: ‘In its simple form, one could state that proportionality stricto sensu leads to a weighing between competing values to assess which value should prevail.’

81.

Het specifieke karakter van het evenredigheidsvereiste stricto sensu ten opzichte van de vereisten van redelijkheid en noodzakelijkheid kan worden geïllustreerd aan de hand van het volgende voorbeeld. Gesteld een lidstaat eist dat bij een ieder die op zijn grondgebied verblijft een geolocatiechip wordt geïnjecteerd, en die de autoriteiten in staat stelt om het komen en gaan van zijn drager gedurende het afgelopen jaar te achterhalen. Een dergelijke maatregel kan ‘noodzakelijk’ worden geacht indien geen enkele andere maatregel met dezelfde mate van doeltreffendheid ernstige criminaliteit kan bestrijden. In mijn ogen is een dergelijke maatregel echter onevenredig in een democratische samenleving, omdat de eruit voortvloeiende inbreuk op de rechten op lichamelijke integriteit, eerbiediging van het privéleven en bescherming van persoonsgegevens onevenredig is aan de voordelen die eruit voortvloeien voor de bestrijding van ernstige criminaliteit.

82.

C-293/12 en C-594/12, EU:C:2013:845. Zie eveneens arrest DRI, punten 27 en 37.

83.

De bewaarde gegevens bevatten immers de bron en de ontvanger van een communicatie, gegevens die slechts hoeven te worden vergeleken met de lijst van telefoonnummers van op het nationale grondgebied werkzame psychologen.

84.

Zie in dit verband United Nations Council, Report of the Special Rapporteur on promotion and protection of human rights while countering terrorism, 28 december 2009, A/HRC/13/37, nr. 42: ‘[I]n Duitsland hebben studies een zorgwekkende consequentie van het gegevensbewaringsbeleid te zien gegeven: 52 % van de respondenten gaf aan dat het, als gevolg van de wetten inzake gegevensbewaring, onwaarschijnlijk was dat zij gebruik zouden maken van telecommunicatie om contact op te nemen met een toxicoloog, psychotherapeut of huwelijkstherapeut’.

85.

Aangezien de bewaarde gegevens ook de locaties van de bron en de ontvanger van een communicatie omvatten, kan eenieder die tijdens een manifestatie een communicatie initieert of ontvangt gemakkelijk worden geïdentificeerd dankzij de bewaarde gegevens. In dit verband beschrijft Marc Goodman, FBI- en Interpoldeskundige op het gebied van risico-s die verband houden met nieuwe technologieën, dat in een recent verleden de Oekraïense regering tijdens een manifestatie van regeringstegenstanders alle mobiele telefoons heeft geïdentificeerd die zich bevonden in de buurt van straatrellen tussen politie en regeringstegenstanders. Al die telefoons ontvingen een bericht dat de auteur omschrijft als het meest ‘Orwelliaanse’ dat ooit door een regering is verstuurd: ‘Geachte abonnee, u bent geregistreerd als deelnemer aan een ernstige verstoring van de openbare orde’ (Goodman, M., Future Crimes, Anchor Books, New York, 2016, blz. 153, vrije vertaling). Zie eveneens United Nations Commission on Human Rights, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, 17 april 2013, A/HRC/23/40, nr. 75, en United Nations Human Rights Counsel, Report of the United Nations High Commissioner for Human Rights on the right to privacy in the digital age, 30 juni 2014, A/HRC/27/37, nr. 3.

86.

Zie in dit verband United Nations Human Rights Council, Report of the United Nations High Commissioner for Human Rights on the right to privacy in the digital age, 30 juni 2014, A/HRC/27/37, nr. 19: ‘In dezelfde geest beweren sommigen dat dat het onderscheppen — of verzamelen — van gegevens over een communicatie, en niet van de inhoud ervan, op zichzelf geen inmenging in het privéleven vormt. Uit het oogpunt van het recht op privéleven is dit onderscheid echter niet overtuigend. De samenvoegingen van informatie die doorgaans worden aangeduid met ‘metagegevens’ kunnen aanwijzingen geven over het gedrag van een individu, zijn sociale betrekkingen, zijn privévoorkeuren en zijn identiteit die veel verder gaan dan hetgeen door raadpleging van de inhoud van een privécommunicatie wordt bereikt’ (cursivering van mij). Zie eveneens United Nations General Assembly, Report of the Special Rapporteur on promotion and protection of human rights while countering terrorism, 23 september 2014, A/69/397, nr. 53.

87.

88.

Zie de punten 178–183 van deze conclusie.