EU-domstolen sætter en stopper for teleudbyderes pligt til datalogning

EU-domstolen har den 8. april 2014 erklæret det omdiskuterede logningsdirektiv, som er implementeret i dansk ret ved logningsbekendtgørelsen, ugyldigt.

Domstolen fandt, at direktivet krænkede EU-chartrets beskyttelse af privatlivets fred, hvorfor EU-lovgiverne er gået ud over deres kompetence, og direktivet er derfor erklæret ugyldigt helt tilbage fra vedtagelsen i 2006. 

Datalogningspligten 

Sagens omdrejningspunkt, logningsdirektivet, pålægger teleudbydere via national lovgivning i de enkelte medlemslandes at logge bestemte oplysninger om personer og selskaber og opbevare disse i mindst seks måneder og maksimalt to år. 

Det drejer som om detaljerede oplysninger vedrørende personers telefonopkald, tekstbeskeder, internet-trafik og opholdsstedet på kommunikationstidspunktet, men ikke selve indholdet af kommunikationen. 

Domstolen udtalte i dommen, at man ud fra disse oplysninger samlet kan drage ret præcise konklusioner om personers privatliv, herunder hverdagsvaner, ophold, daglige bevægelser og sociale relationer. 

Formålet med datalogningen er, at oplysninger skal kunne udleveres til politiet i forbindelse med dets efterforskning af alvorlige strafbare forhold, og i Danmark er direktivet implementeret således, at oplysningerne skal opbevares i 1 år. 

Dyrt for branchen 

I 2013 foretog danske teleselskaber 3,5 billion registreringer af kundernes digitale adfærd. Teleudbydernes pligt til at datalogge har ifølge branchen kostet omkring 200 mio. kr. i omkostninger til udstyr og en årlig driftsudgift siden 2007 på omkring 50 mio. kr. Datalogningen er således en ikke uvæsentlig økonomisk byrde for teleudbyderne. 

Krænkelse af menneskerettigheder?

Domstolen udtaler, at datalogningen kan påvirke personers brug af kommunikation og af den vej ind-skrænke ytringsfriheden, som udtrykt i EU-chartret. 

Herudover udtaler Domstolen, at logningen i sig selv udgør en krænkelse af privatlivets fred - uanset om den pågældende registrering omhandler følsomme oplysninger eller har været til gene for den berørte person. 

Det samme gælder den grundlæggende ret til beskyttelse af personoplysninger, som også er udtrykt i EU-chartret. 

Krænkelsen af rettighederne er med direktivet både vidtrækkende og særligt alvorlig, mener Domstolen. 

Selvom krænkelsen af disse rettigheder er alvorlig, mener Domstolen dog ikke, at krænkelsen har en ugunstig virkning på selve essensen af disse rettigheder, når logningen ikke vedrører kommunikationens indhold. 

Direktivet kan derfor principielt retfærdiggøres, da formålet er i almenheden interesse, nemlig beskyttelse af personers sikkerhed, så længe det er proportionalt med dette formål. EU-domstolen kom frem til, at der ikke var denne proportionalitet.

En for vidtrækkende overvågning

Direktivet blev først og fremmest kritiseret for at være meget vidtrækkende, idet det fandt anvendelse for alle former for elektronisk kommunikation, især når brugen heraf har voksende betydning for personers hverdag. hvorved der reelt gøres indgreb i alle EU-borgeres ret til privatliv. 

Indgrebet sker efter direktivet uden differentiering, begrænsninger eller undtagelser, når det kommer til de indsamlede data, og rammer derfor personer, hvor der ikke er bevis for direkte eller indirekte involvering i en alvorlig forbrydelse. 

Der er derfor efter Domstolens opfattelse ingen sammenhæng mellem opbevaret data og en konkret trussel mod sikkerheden, eftersom der ikke stilles krav om en afgrænsning af logningen, enten geografisk, tidsmæssigt eller mod en bestemt kreds af personer.

Risiko for misbrug af oplysninger

Dernæst blev det kritiseret, at der ikke blev opstillet objektive kriterier, der fastlægger, hvornår en myndighed kan få adgang til loggede oplysninger, eller hvornår en forbrydelse er tilstrækkelig alvorlig til at retfærdiggøre adgang. 

Dertil kommer, at direktivet ikke stillede krav om en dommerkendelse eller en administrativ prøvelse forinden, og dermed åbnedes der ifølge Domstolen op for et potentielt misbrug af de indsamlede oplysninger. 

Vilkårlig længde for opbevaring af data

Herudover angav direktivet, at dataene skulle opbevares i mindst seks måneder og maksimalt to år, men det var overladt til de enkelte medlemslande at afgøre, hvor i intervallet den nationale lovgivning skulle ligge, uden krav om at der blev skelnet mellem, hvilken type data der var tale om. Dette mente Domstolen gjorde den tidsmæssige udstrækning for opbevaring af data vilkårlig og dermed også betænkelig. 

Et nyt direktiv?

På grund af direktivets vidtrækkende krav til overvågning og risikoen for misbrug af de mange oplysninger, kom Domstolen derfor samlet frem til, at logningsdirektivet gik ud over, hvad der er nødvendigt. Direktivet er derfor efter proportionalitetsprincippet i strid med EU-chartret. 

Dermed blev logningsdirektivet kendt ugyldigt, og det må derfor forventes, at EU-lovgiverne vil fremsætte et nyt revideret direktiv, der tager højde for Domstolens kritik. 

Ændring af de danske regler?

Med ophævelsen af logningsdirektivet vil der være et behov for revision af de danske regler, der implementerer direktivet gennem logningsbekendtgørelsen. 

De danske regler er på visse områder mere vidtgående end logningsdirektivet og må antages efter denne dom ligeledes at være uproportionelle  og dermed i strid med EU-chartrets beskyttelse af privatlivets fred. 

Justitsministeren har i første omgang udtalt, at reglerne nu vil blive undersøgt og ændret, hvis de ikke er i overensstemmelse med EU-retten.