2013

Datum van inontvangstneming

:

29/01/2013

Vertaling

C-594/12 - 1 Zaak C-594/12 Verzoek om een prejudiciële beslissing

Datum van indiening: 19 december 2012 Verwijzende rechter: Verfassungsgerichtshof (Oostenrijk) Datum van de verwijzingsbeslissing: 28 november 2012 Verzoekende partijen: Kärntner Landesregierung Michael Seitlinger Christof Tschohl Andreas Krisch Albert Steinhauser Jana Herwig Sigrid Maurer Erich Schweighofer Hannes Tretter Scheucher Rechtsanwalt GmbH Maria Wittmann-Tiwald Philipp Schmuck Stefan Prochaska

NL

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

VERFASSUNGSGERICHTSHOF (omissis) 28 november 2012 BESCHIKKING Het Verfassungsgerichtshof heeft (omissis) in de beroepen van 1. de KÄRNTNER LANDESREGIERUNG, 2. Mag. Michael SEITLINGER, (omissis) Wenen, (omissis) en 3. Ing. Dr. Christof TSCHOHL, (omissis) Wenen, Mag. Andreas KRISCH, (omissis) Wenen, Mag. Albert STEINHAUSER, (omissis) Wenen, Jana HERWIG, (omissis) Wenen, Sigrid MAURER, (omissis) Wenen, Mag. DDr. Erich SCHWEIGHOFER, (omissis) Wenen, Dr. Hannes TRETTER, (omissis) Wenen, SCHEUCHER Rechtsanwalt GmbH, (omissis) Wenen, Dr. Maria WITTMANN-TIWALD, (omissis) Wenen, Philipp SCHMUCK, (omissis) Baden, Dr. Stefan PROCHASKA, (omissis) Wenen, en anderen, (omissis) tot nietigverklaring van bepalingen van het Telekommunikationsgesetz (Oostenrijkse telecommunicatiewet), in de versie van BGBl. I 27/2011, en in de beroepen van de onder 2 en 3 genoemde partijen tevens tot nietigverklaring van bepalingen van de Strafprozessordnung (Oostenrijks wetboek van strafvordering [StPO]), in de versie van BGBl. I 33/2011 en van het Sicherheitspolizeigesetz (Oostenrijkse wet betreffende de veiligheidspolitie), in de versie van BGBl. I 33/2011 (omissis) beslist: I. Het Hof van Justitie van de Europese Unie wordt overeenkomstig artikel 267 VWEU verzocht om een prejudiciële beslissing over de volgende vragen: 1. Geldigheid van handelingen van instellingen van de Unie: Zijn de artikelen 3 tot en met 9 van richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG, verenigbaar met de artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie? 2. Uitlegging van de verdragen: 2.1 Moeten, gelet op de toelichting op artikel 8 van het Handvest, die overeenkomstig artikel 52, lid 7, daarvan is opgesteld om richting te geven aan de uitlegging van dit Handvest en door het Verfassungsgerichtshof naar behoren in 2

KÄRNTNER LANDESREGIERUNG E.A.

acht moet worden genomen, richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, voor de beoordeling van de toelaatbaarheid van inmengingen, worden beschouwd als gelijkwaardig aan de voorwaarden van artikel 8, lid 2, en artikel 52, lid 1, van het Handvest? 2.2. Hoe verhoudt het in artikel 52, lid 3, laatste zin, van het Handvest genoemde „recht van de Unie” zich tot de richtlijnen op het gebied van het recht inzake gegevensbescherming? 2.3. Moet, gelet op het feit dat richtlijn 95/46/EG en verordening (EG) nr. 45/2001 voorwaarden en beperkingen bevatten voor de uitoefening van het in het Handvest neergelegde fundamentele recht op gegevensbescherming, bij de uitlegging van artikel 8 van het Handvest rekening worden gehouden met wijzigingen tengevolge van afgeleid recht van latere datum? 2.4. Heeft, gelet op artikel 52, lid 4, van het Handvest, het in artikel 53 van het Handvest neergelegde beginsel van handhaving van hogere beschermingsniveaus tot gevolg dat de in het Handvest neergelegde grenzen van de toelaatbare beperkingen door afgeleid recht nauwer moeten worden afgebakend? 2.5. Kunnen, gelet op artikel 52, lid 3, van het Handvest, de vijfde alinea van de preambule en de toelichting op artikel 7 van het Handvest, volgens welke de in artikel 7 gewaarborgde rechten corresponderen met de rechten die in artikel 8 EVRM zijn gewaarborgd, aan de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM criteria worden ontleend voor de uitlegging van artikel 8 van het Handvest, die de uitlegging van laatstgenoemd artikel beïnvloeden? II.

(omissis) [opschorting van de procedure] Motivering I.

1

1. Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (hierna: „richtlijn gegevensbewaring”), bevordert volgens artikel 1, lid 1, ervan, de harmonisatie van de nationale bepalingen van de lidstaten waarbij aan aanbieders van elektronische communicatiediensten of een openbaar communicatienetwerk verplichtingen worden opgelegd inzake het bewaren van bepaalde gegevens die door hen gegenereerd of verwerkt worden, 3

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

teneinde te garanderen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten. Volgens artikel 1, lid 2, van de richtlijn gegevensbewaring heeft deze betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren. De inhoud van elektronische communicatie valt niet binnen de werkingssfeer van de richtlijn gegevensbewaring. De gegevens moeten gedurende ten minste zes maanden en ten hoogste twee jaar vanaf de datum van de communicatie worden bewaard. 2

2. De Oostenrijkse wet waarbij een telecommunicatiewet wordt vastgesteld (Telekommunikationsgesetz 2003; hierna: „TKG 2003”), bevat reeds in zijn originele versie bepalingen die de exploitant van een telecommunicatienet verplichten om bepaalde gegevens te bewaren. Bij wijzigingswet BGBl. I 27/2011 werd de richtlijn gegevensbewaring omgezet en werden de verplichtingen tot bewaring in een nieuw ingevoegde § 102a TKG 2003 (zie hierna punt II.2) uitgebreid. Deze wijzigingswet trad op 1 april 2012 in werking (omissis).

3

3. Op 6 april 2012 stelde de Kärntner Landesregierung (hierna: „verzoekende Landesregierung”) op grond van haar besluit van 27 maart 2012 bij het Verfassungsgerichtshof beroep in overeenkomstig artikel 140, lid 1, van het Bundes-Verfassungsgesetz (Oostenrijkse federale grondwet; hierna: „B-VG”), waarmee zij de nietigverklaring vordert van nader genoemde bepalingen van het TKG 2003 (omissis), onder andere van de bij wijzigingswet BGBl. I 27/2011 ingevoegde § 102a.

4

4. Op 25 mei 2012 stelde Mag. Michael Seitlinger, een werknemer van A1 Telekom Austria AG, beroep in overeenkomstig artikel 140, lid 1, B-VG, waarin hij betoogt dat hij, onder andere door de ongrondwettigheid van § 102a TKG 2003, rechtstreeks in zijn rechten is geschaad. Hij verklaart te beschikken over vier abonnee-aansluitingen, die hij zowel beroepsmatig als privé gebruikt voor spraaktelefonie respectievelijk internettoegang, inclusief e-maildiensten. De bestreden bepaling verplicht de aanbieder van verzoekers telecommunicatienet om zonder aanleiding of technische noodzaak, los van verrekeningsdoeleinden en onafhankelijk van of zelfs tegen zijn wil, nader genoemde gegevens van hem te bewaren. Verzoeker beschouwt dit als een schending van onder andere artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest van de grondrechten”).

5

5. Op 15 juni 2012 is bij het Verfassungsgerichtshof nog een beroep overeenkomstig artikel 140 B-VG ingesteld, waarin eveneens wordt betoogd dat de – in totaal 11 130 – verzoekers door de ongrondwettigheid van de in § 102a TKG 2003 neergelegde verplichting tot bewaring rechtstreeks in hun rechten zijn geschaad, aangezien al deze verzoekers (ten minste) één overeenkomst voor het gebruik van een of meer van de in § 102a, lid 2 tot en met 4, TKG 2003 genoemde 4

KÄRNTNER LANDESREGIERUNG E.A.

diensten hebben gesloten, zodat hun abonneegegevens („basisgegevens”) bij de desbetreffende verkeersgegevens zijn opgenomen onder de te bewaren gegevens. Ook verzoekers in deze procedure beschouwen het zonder verdenking of aanleiding bewaren van hun gegevens als een schending van onder andere artikel 8 van het Handvest van de grondrechten. II. 6

De relevante wettelijke regeling ziet er als volgt uit:

7

1. De bepalingen van richtlijn 2006/24/EG van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG, luiden: „Artikel 1 Onderwerp en werkingssfeer 1. Deze richtlijn heeft tot doel een harmonisatie tot stand te brengen van de nationale bepalingen van de lidstaten waarbij aan aanbieders van elektronische communicatiediensten of een openbaar communicatienetwerk verplichtingen worden opgelegd inzake het bewaren van bepaalde gegevens die door hen gegenereerd of door hen worden verwerkt, teneinde te garanderen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten. 2. Deze richtlijn heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren. Zij is niet van toepassing op de inhoud van elektronische communicatie, de informatie die wordt geraadpleegd met behulp van een elektronisch communicatienetwerk daaronder begrepen. Artikel 2 Definities 1. In het kader van deze richtlijn gelden de definities van richtlijn 95/46/EG, van richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten (kaderrichtlijn) en van richtlijn 2002/58/EG. 2.

In deze richtlijn wordt verstaan onder: 5

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

a) ‚gegevens’: verkeers- en locatiegegevens, en de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identificeren; b) ‚gebruiker’: elke natuurlijke of rechtspersoon die, eventueel zonder geabonneerd te zijn op een openbare elektronische communicatiedienst, daarvan gebruikmaakt voor particuliere of zakelijke doeleinden; c) ‚telefoondienst’: oproepen (met inbegrip van spraak, voicemail, conference call of call-gegevens), aanvullende diensten (met inbegrip van call forwarding en call transfer), messaging- en multimediadiensten [met inbegrip van short message service (SMS), enhanced media service (EMS) en multimedia service (MMS)]; d) ‚gebruikersidentificatie’: een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of internetcommunicatiedienst; e) ‚celidentiteit’; (Cell ID): de unieke code van een cel van waaruit een mobiele telefonieoproep werd begonnen of beëindigd; f) ‚oproeppoging zonder resultaat’: een communicatie waarbij een telefoonoproep wel tot een verbinding heeft geleid, maar onbeantwoord is gebleven of via het netwerkbeheer is beantwoord. Artikel 3 Verplichting om gegevens te bewaren 1. In afwijking van de artikelen 5, 6 en 9 van richtlijn 2002/58/EG nemen de lidstaten bepalingen aan om te waarborgen dat de in artikel 5 bedoelde gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt door onder hun rechtsmacht vallende aanbieders van openbare elektronische communicatiediensten of een openbaar communicatienetwerk bij het leveren van de betreffende communicatiediensten, worden bewaard overeenkomstig de bepalingen van deze richtlijn. 2. De verplichting tot gegevensbewaring voorzien in lid 1 omvat de bewaring van de in artikel 5 bedoelde gegevens betreffende oproeppogingen zonder resultaat waarbij die gegevens, voorzover die in verband met de aanbieding van de bedoelde communicatiediensten worden gegenereerd, verwerkt en opgeslagen (wat telefoniegegevens betreft) of gelogd (wat internetgegevens betreft) door onder de rechtsmacht van de betrokken lidstaat vallende aanbieders van openbaar beschikbare elektronische communicatiediensten of van een openbaar communicatienetwerk. Deze richtlijn bevat geen vereisten betreffende de bewaring van gegevens in verband met niet tot stand gekomen verbindingen. Artikel 4 6

KÄRNTNER LANDESREGIERUNG E.A.

Toegang tot gegevens 1. De lidstaten nemen bepalingen aan om te waarborgen dat de overeenkomstig deze richtlijn bewaarde gegevens alleen in welbepaalde gevallen, en in overeenstemming met de nationale wetgeving, aan de bevoegde nationale autoriteiten worden verstrekt. De procedure en de te vervullen voorwaarden voor toegang tot gegevens die bewaard worden overeenkomstig de vereisten inzake noodzakelijkheid en evenredigheid, worden door elke lidstaat vastgesteld in de nationale wetgeving, rekening houdend met de relevante bepalingen van de wetgeving van de Europese Unie of publiek internationaal recht, met name het EVRM, zoals geïnterpreteerd door het Europees Hof voor de Rechten van de Mens. Artikel 5 Te bewaren categorieën gegevens 1. De lidstaten zorgen ervoor dat de volgende categorieën gegevens ter uitvoering van deze richtlijn worden bewaard: a) gegevens die nodig zijn om de bron van een communicatie te traceren en te identificeren: 1.

in het geval van telefonie over een vast of mobiel netwerk:

i)

het telefoonnummer van de oproeper,

ii)

naam en adres van de abonnee of de geregistreerde gebruiker;

2. in het geval internettelefonie: i)

van

internettoegang,

e-mail

over

het

internet

en

de toegewezen gebruikersidentificatie(s),

ii) de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt, iii) naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IPadres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie; b) gegevens die nodig zijn om de bestemming van een communicatie te identificeren: 1.

in het geval van telefonie over een vast netwerk en mobiele telefonie:

7

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

i) het telefoonnummer (de telefoonnummers) die werden opgeroepen en, in het geval van aanvullende diensten zoals call forwarding of call transfer, het nummer (de nummers) waarnaar de verbinding is doorgeleid, ii) naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s); 2.

in het geval van e-mail over het internet en internettelefonie:

i) de gebruikersidentificatie of [het] telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep, ii) naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van de communicatie; c) gegevens die nodig zijn om de datum, het tijdstip en de duur van een communicatie te bepalen: 1. in het geval van telefonie over een vast netwerk en mobiele telefonie: datum en tijdstip van aanvang en einde van de verbinding; 2. in het geval internettelefonie:

van

internettoegang,

e-mail

over

het

internet

en

i) datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker, ii) de datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone; d)

gegevens die nodig zijn om het type communicatie te bepalen:

1. in het geval van telefonie over een vast netwerk en van mobiele telefonie: de gebruikte telefoondienst, 2. in het geval van e-mail over het internet en internettelefonie: de gebruikte internetdienst; e) gegevens die nodig zijn om de communicatieapparatuur of de vermoedelijke communicatieapparatuur van de gebruikers te identificeren: 1. in het geval van telefonie over een vast netwerk, het/de oproepende en opgeroepen nummer(s); 8

KÄRNTNER LANDESREGIERUNG E.A.

2.

in het geval van mobiele telefonie:

i)

het/de oproepende en opgeroepen nummer(s),

ii) de International Mobile Subscriber Identity (IMSI) van de oproepende deelnemer, iii) de International Mobile Equipment Identity (IMEI) van de oproepende deelnemer, iv)

de IMSI van de opgeroepen deelnemer,

v)

de IMEI van de opgeroepen deelnemer,

vi) in geval van vooraf betaalde anonieme diensten, datum en tijdstip van de eerste activering van de dienst en aanduiding (Cell ID) van de locatie waaruit de dienst is geactiveerd; 3.

in het geval van internettoegang, e-mail over het internet en internetdiensten:

i)

het inbellende nummer voor een inbelverbinding,

ii) de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie; f) gegevens die nodig zijn om de locatie van mobiele communicatieapparatuur te bepalen: 1.

de locatieaanduiding (Cell ID) bij het begin van de verbinding,

2. gegevens voor het identificeren van de geografische locatie van cells middels referentie aan hun locatieaanduidingen (Cell ID’s) gedurende de periode dat communicatiegegevens worden bewaard.. 2. Gegevens waaruit de inhoud van de communicatie kan worden opgemaakt, mogen krachtens deze richtlijn niet worden bewaard. Artikel 6 Bewaringstermijnen De lidstaten zorgen ervoor dat de in artikel 5 genoemde categorieën gegevens gedurende ten minste zes maanden en ten hoogste twee jaar vanaf de datum van de communicatie worden bewaard. Artikel 7 Gegevensbescherming en gegevensbeveiliging 9

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

Onverminderd de bepalingen die zijn goedgekeurd ingevolge de richtlijnen 95/46/EG en 2002/58/EG zorgt iedere lidstaat ervoor dat de aanbieders van elektronische communicatiediensten of de aanbieders van een publiek communicatienetwerk ten minste de volgende beginselen van gegevensbeveiliging respecteren met betrekking tot gegevens die bewaard worden overeenkomstig deze richtlijn: a) de bewaarde gegevens hebben dezelfde kwaliteit en worden onderworpen aan dezelfde beveiligings- en beschermingsmaatregelen als de gegevens in het netwerk; b) de gegevens worden onderworpen aan passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies of wijziging per ongeluk, niet-toegelaten of onrechtmatige opslag, verwerking, toegang of openbaarmaking; c) de gegevens worden onderworpen aan passende technische en organisatorische maatregelen om te waarborgen dat toegang tot de gegevens slechts geschiedt door speciaal daartoe bevoegde personen, en d) de gegevens worden aan het einde van de bewaarperiode vernietigd, met uitzondering van de geraadpleegde en vastgelegde gegevens. Artikel 8 Opslagvoorschriften voor bewaarde gegevens De lidstaten zorgen ervoor dat de gegevens, zoals vermeld in artikel 5 in overeenstemming met deze richtlijn worden bewaard, op zodanige wijze dat de bewaarde gegevens en alle andere daarmee verband houdende relevante informatie onverwijld aan de bevoegde autoriteiten kunnen worden meegedeeld wanneer daarom wordt verzocht. Artikel 9 Toezichthoudende autoriteit 1. Elke lidstaat zorgt ervoor dat één of meer overheidsinstanties verantwoordelijk worden gesteld voor het toezicht houden op de toepassing op het eigen grondgebied van de bepalingen, die overeenkomstig artikel 7 van deze richtlijn door de lidstaten zijn goedgekeurd met betrekking tot de veiligheid van de bewaarde gegevens. Deze instanties kunnen dezelfde zijn als die bedoeld in artikel 28 van richtlijn 95/46/EG.

10

KÄRNTNER LANDESREGIERUNG E.A.

2. Deze instanties zijn volledig onafhankelijk bij de uitoefening van de in lid 1 bedoelde taak. Artikel 10 Statistieken 1. De lidstaten zorgen ervoor dat jaarlijks aan de Commissie statistische informatie wordt verstrekt over de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of een openbaar communicatienetwerk. Die informatie heeft betrekking op: – de gevallen waarin overeenkomstig de toepasselijke nationale wetgeving gegevens zijn verstrekt aan de bevoegde autoriteiten; – de tijd die is verstreken tussen de datum waarop de gegevens zijn bewaard en de datum waarop de bevoegde autoriteiten om de overdracht ervan verzochten; en –

de gevallen waarin verzoeken niet konden worden ingewilligd.

2.

De statistische informatie bevat geen persoonsgegevens. Artikel 11 Wijziging van richtlijn 2002/58/EG

In artikel 15 van richtlijn 2002/58/EG wordt het volgende lid ingevoegd: ‚1 bis. Lid 1 is niet van toepassing op de uit hoofde van richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken […] te bewaren gegevens voor de in artikel 1, lid 1, van die richtlijn bedoelde doeleinden.’ Artikel 12 Toekomstige maatregelen 1. Lidstaten met specifieke omstandigheden die een in tijd beperkte verlenging van de in artikel 6 bedoelde bewaringsperiode rechtvaardigen, kunnen de noodzakelijke maatregelen treffen. De lidstaten stellen de Commissie en de overige lidstaten onverwijld in kennis van de krachtens dit artikel genomen maatregelen, met vermelding van de redenen die aan dat besluit ten grondslag liggen. 11

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

2. Uiterlijk zes maanden na de in lid 1 bedoelde kennisgeving, bekrachtigt of verwerpt de Commissie de desbetreffende nationale maatregelen na te hebben onderzocht of zij al dan niet neerkomen op willekeurige discriminatie of een verkapte vorm van handelsbeperking tussen de lidstaten, en of zij al dan niet een belemmering vormen voor de werking van de interne markt. Wanneer de Commissie binnen de genoemde periode geen besluit neemt, worden de maatregelen als goedgekeurd beschouwd. 3. Indien de nationale maatregelen die afwijken van het bepaalde in deze richtlijn, overeenkomstig lid 2 zijn goedgekeurd, kan de Commissie overwegen een aanpassing van deze richtlijn voor te stellen. Artikel 13 Verhaal in rechte, aansprakelijkheid en sancties 1. Elke lidstaat neemt de nodige maatregelen om ervoor te zorgen dat de nationale maatregelen ter uitvoering van hoofdstuk III van richtlijn 95/46/EG betreffende beroep op de rechter, aansprakelijkheid en sancties wat de verwerking van gegevens krachtens deze richtlijn betreft, volledig worden geïmplementeerd. 2. Elke lidstaat neemt, in het bijzonder, de noodzakelijke maatregelen om ervoor te zorgen dat elke opzettelijke toegang tot of overbrenging van gegevens die overeenkomstig deze richtlijn worden bewaard die niet is toelaatbaar uit hoofde van krachtens deze richtlijn vastgestelde nationale uitvoeringsbepalingen, strafbaar is met sancties, met inbegrip van administratieve of strafrechtelijke sancties, die effectief, evenredig en afschrikkend zijn. Artikel 14 Evaluatie 1. Uiterlijk op 15 september 2010 brengt de Commissie aan het Europees Parlement en de Raad een evaluatieverslag uit over de toepassing van deze richtlijn en de weerslag ervan op de marktdeelnemers en de consumenten, daarbij rekening houdend met verdere ontwikkelingen in elektronische communicatietechnologie en de statistische informatie die aan de Commissie wordt verstrekt overeenkomstig artikel 10, teneinde na te gaan of het nodig is de bepalingen van deze richtlijn aan te passen, in het bijzonder wat betreft de lijst van gegevens in artikel 5 en de in artikel 6 vastgestelde bewaringstermijnen. De resultaten van de evaluatie worden openbaar gemaakt. 2. Daartoe neemt de Commissie alle opmerkingen in behandeling die aan haar worden gericht door de lidstaten of door de bij artikel 29 van richtlijn 95/46/EG ingestelde groep. Artikel 15 12

KÄRNTNER LANDESREGIERUNG E.A.

Omzetting 1. De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk op 15 september 2007 aan deze richtlijn te voldoen. Zij stellen de Commissie hiervan onverwijld in kennis. Wanneer de lidstaten deze bepalingen aannemen, wordt in die bepalingen zelf, of bij de officiële bekendmaking daarvan, naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten. 2. De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen. 3. Elke lidstaat kan de toepassing van deze richtlijn op de bewaring van communicaties in verband met internettoegang, internettelefonie en e-mails via het internet uitstellen tot 15 maart 2009. Elke lidstaat die van deze mogelijkheid wil gebruikmaken, stelt de Raad en de Commissie daarvan op de hoogte, middels een verklaring op het moment van goedkeuring van de richtlijn. De verklaring wordt bekendgemaakt in het Publicatieblad van de Europese Unie. Artikel 16 Inwerkingtreding Deze richtlijn treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie. Artikel 17 Adressaten Deze richtlijn is gericht tot de lidstaten.” 8

2. § 102a TKG 2003, die aanbieders van openbare communicatiediensten de verplichting oplegt tot bewaring van uitdrukkelijk genoemde gegevens, luidt: „Bewaarde gegevens § 102a. (1) Naast de bevoegdheid tot het bewaren of verwerken overeenkomstig de §§ 96, 97, 99, 101 en 102, dienen aanbieders van openbare communicatiediensten volgens de leden 2 tot en met 4 daarenboven gegevens vanaf het tijdstip waarop zij zijn gegenereerd of verwerkt, tot zes maanden na beëindiging van de communicatie te bewaren. De bewaring vindt uitsluitend plaats ten behoeve van het onderzoeken, opsporen en vervolgen van strafbare feiten waarvan de ernst een bevel krachtens § 135, lid 2a, StPO rechtvaardigt. (2) Aanbieders van internettoegangsdiensten zijn verplicht om de volgende gegevens te bewaren: 13

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

1. naam, adres en identificatiecode van de abonnee aan wie op een bepaald tijdstip een openbaar IP-adres was toegewezen, onder vermelding van de tijdzone waarop dit is gebaseerd; 2. datum en tijdstip van de toewijzing en intrekking van een openbaar IP-adres bij een internettoegangsdienst, onder vermelding van de tijdzone waarop dit is gebaseerd; 3.

telefoonnummer van de oproeper voor de toegang via een inbelverbinding;

4. de eenduidige identificatie van de aansluiting waarmee de internettoegang tot stand is gebracht. (3) Aanbieders van openbare telefoondiensten, met inbegrip van internettelefoondiensten, zijn verplicht om de volgende gegevens te bewaren: 1. het abonneenummer of een andere identificatie van het oproepende en opgeroepen nummer; 2. in het geval van aanvullende diensten zoals call forwarding of call transfer, het abonneenummer waarnaar de oproep is doorgeleid; 3.

naam en adres van de oproepende of opgeroepen abonnee;

4. datum en tijdstip van aanvang en duur van een communicatie, onder vermelding van de tijdzone waarop dit is gebaseerd; 5. het type diensten waarvan gebruik is gemaakt (oproepen, aanvullende diensten en messaging- en multimediadiensten). 6.

In geval van mobielecommunicatienetwerken bovendien:

a) de International Mobile Subscriber Identity (IMSI) van de oproepende en opgeroepen aansluiting, b) de International Mobile Equipment Identity (IMEI) van de oproepende en opgeroepen aansluiting; c) datum en tijdstip van eerste activering van de dienst en aanduiding van de locatie (Cell ID) waar de dienst is geactiveerd, wanneer het gaat om vooruitbetaalde, anonieme diensten; d)

de locatieaanduiding (Cell ID) bij het begin van een verbinding.

(4) Aanbieders van e-maildiensten zijn verplicht om de volgende gegevens te bewaren: 1. 14

de aan een abonnee toegewezen abonnee-identificatie;

KÄRNTNER LANDESREGIERUNG E.A.

2. naam en adres van de abonnee aan wie op een bepaald tijdstip een emailadres was toegewezen; 3. bij het verzenden van e-mail: het e-mailadres en het openbaar IP-adres van de afzender alsook het e-mailadres van elke ontvanger van e-mail; 4. bij het ontvangen van e-mail en het opslaan daarvan in een elektronisch postvak: het e-mailadres van afzender en ontvanger van het bericht alsook het openbaar IP-adres van de communicatienetinrichting die de laatste communicatie heeft doorgegeven; 5. bij het in- en uitloggen bij een e-maildienst: datum, tijdstip, abonneeidentificatie en openbaar IP-adres van de abonnee, onder vermelding van de tijdzone waarop dit is gebaseerd. (5) De in lid 1 neergelegde verplichting tot bewaring geldt enkel voor gegevens die overeenkomstig de leden 2 tot en 4 als gevolg van het aanbieden van de desbetreffende communicatiediensten zijn gegenereerd of verwerkt. In verband met oproeppogingen zonder resultaat geldt de in lid 1 neergelegde verplichting tot bewaring enkel voor zover die gegevens als gevolg van het aanbieden van de desbetreffende communicatiedienst zijn gegenereerd of verwerkt en worden bewaard of geprotocolleerd. (6) De in lid 1 neergelegde verplichting tot bewaring geldt niet voor aanbieders waarvan de ondernemingen niet verplicht zijn tot betaling, overeenkomstig § 34 KommAustriaG (Oostenrijkse wet tot instelling van een communicatieautoriteit), van de financieringsbijdrage. (7) De inhoud van de communicatie, en met name gegevens over op het internet opgeroepen adressen, mogen op grond van deze bepaling niet worden bewaard. (8) De krachtens lid 1 te bewaren gegevens moeten, behoudens het bepaalde in § 99, lid 2, na het verstrijken van de bewaringstermijn zo spoedig mogelijk en uiterlijk een maand na afloop van de bewaringstermijn worden gewist. Het verstrekken van inlichtingen na afloop van de bewaringstermijn is ontoelaatbaar. (9) Met betrekking tot bewaarde gegevens die overeenkomstig § 102b worden verstrekt, worden de aanspraken op informatie of inlichtingen over dit gegevensgebruik uitsluitend geregeld door de bepalingen van de StPO.” 9

Overeenkomstig § 102b TKG 2003 is het verstrekken van inlichtingen over bewaarde gegevens uitsluitend toelaatbaar op basis van een rechterlijk goedgekeurd bevel van de officier van justitie tot het oplossen en vervolgen van strafbare feiten waarvan de ernst een bevel krachtens § 135, lid 2a, Strafprozessordnung 1975 (toelaatbaarheid van inlichtingen over bewaarde gegevens onder nader genoemde voorwaarden – te weten wanneer te verwachten valt dat daardoor de oplossing kan worden bevorderd van een opzettelijk begaan 15

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

strafbaar feit waarop een vrijheidsstraf van meer dan zes maanden respectievelijk een jaar is gesteld, of wanneer op grond van bepaalde feiten te verwachten valt dat daardoor het verblijf kan worden opgespoord van een voortvluchtige of afwezige verdachte tegen wie een ernstige verdenking bestaat van het opzettelijk plegen van een strafbaar feit waarop een vrijheidsstraf van meer een jaar is gesteld) rechtvaardigt. De gegevens moeten zodanig worden bewaard dat zij zo spoedig mogelijk kunnen worden doorgegeven aan de autoriteiten die overeenkomstig de bepalingen van de Strafprozessordnung bevoegd zijn inzake het verstrekken van inlichtingen over de gegevens van een berichtendoorgave. Het doorgeven van de gegevens dient te geschieden „in een passende, beschermde vorm”, met inachtneming van de technische voorzieningen waarin krachtens in § 94, lid 4, TKG 2003 moet worden voorzien. 10

§ 102c TKG 2003 bevat bepalingen inzake gegevensveiligheid, protocollering en statistiek. Zo moet bijvoorbeeld door passende technische en organisatorische maatregelen worden gewaarborgd dat de toegang tot de bewaarde gegevens uitsluitend is voorbehouden aan daartoe gemachtigde personen, met inachtneming van het vier-ogen-beginsel. De geprotocolleerde gegevens, die door de tot bewaring verplichte aanbieders voor elke toegang tot bewaarde gegevens en voor elk verzoek om of inlichting over bewaarde gegevens moeten worden bijgehouden, moeten tot drie jaar na afloop van de bewaringstermijn van de betrokken gegevens worden bewaard. Voor het toezicht op de naleving van deze verplichtingen is de gegevensbeschermingscommissie verantwoordelijk.

11

§ 109, punten 22 tot en met 26, TKG 2003 bevat een strafbepaling krachtens welke degene die de bepalingen van bovenvermelde §§ 102a tot en met 102c overtreedt een administratiefrechtelijke overtreding begaat en wordt bestraft met een geldboete tot 37 000 EUR.

12

3. § 135 Strafprozessordnung, BGBl. 631/1975, in de versie van BGBl. I 33/2011, luidt: „Inbeslagneming van brieven, inlichtingen over gegevens van een communicatie, inlichtingen over bewaarde gegevens en toezicht op de communicatie § 135. (1) Inbeslagneming van brieven is toelaatbaar wanneer dit noodzakelijk is voor de oplossing van een opzettelijk begaan strafbaar feit waarop een vrijheidsstraf van meer dan een jaar is gesteld, en de verdachte vanwege een dergelijk feit is aangehouden, dan wel indien vanwege dat feit een bevel tot zijn voorgeleiding of aanhouding werd uitgevaardigd. (2) Het verstrekken van inlichtingen over gegevens van een communicatie is toelaatbaar, 1. wanneer en zolang er een ernstige verdenking bestaat dat een persoon op wie de inlichting betrekking heeft een andere persoon heeft ontvoerd of anderszins van diens vrijheid heeft beroofd, en de inlichting enkel betrekking heeft op gegevens 16

KÄRNTNER LANDESREGIERUNG E.A.

van een dergelijke communicatie, waarvan kan worden aangenomen dat zij ten tijde van de vrijheidsberoving door de verdachte is doorgegeven, ontvangen of verzonden. 2. wanneer te verwachten valt dat daardoor de oplossing kan worden bevorderd van een opzettelijk begaan strafbaar feit waarop een vrijheidsstraf van meer dan zes maanden is gesteld en de houder van de technische voorziening die de oorsprong of het doel was, of zal worden, van een communicatie, uitdrukkelijk instemt met het verstrekken van de inlichtingen, of 3. wanneer te verwachten valt dat daardoor de oplossing kan worden bevorderd van een opzettelijk begaan strafbaar feit waarop een vrijheidsstraf van meer dan een jaar is gesteld en op grond van bepaalde feiten kan worden aangenomen dat daardoor gegevens van de verdachte kunnen worden opgespoord, 4. op grond van bepaalde feiten kan worden aangenomen dat daardoor het verblijf kan worden opgespoord van een voortvluchtige of afwezige verdachte tegen wie een ernstige verdenking bestaat van het opzettelijk plegen van een strafbaar feit waarop een vrijheidsstraf van meer een jaar is gesteld. (2a) Het verstrekken van inlichtingen over bewaarde gegevens (§§ 102a en 102b TKG) is in de gevallen genoemd onder de leden 2, punten 2 tot en met 4, toelaatbaar. (3)

Toezicht op de communicatie is toelaatbaar,

1.

in de gevallen genoemd onder lid 2, punt 1,

2. in de gevallen genoemd onder lid 2, punt 2, voor zover de houder van de technische voorziening die de oorsprong of het doel was, of zal worden, van een communicatie, instemt met het verstrekken van de inlichtingen, 3. wanneer dit noodzakelijk lijkt voor de oplossing van een opzettelijk begaan strafbaar feit waarop een vrijheidsstraf van meer dan een jaar is gesteld, of wanneer de oplossing of verhindering van in het kader van een criminele of terroristische vereniging of criminele organisatie (§§ 278-278b Strafgesetzbuch; Oostenrijks wetboek van strafrecht; hierna: „StGB”) begane of voorgenomen strafbare feiten anders wezenlijk zou worden bemoeilijkt, en a) tegen de houder van de technische voorziening die de oorsprong of het doel was, of zal worden, van een communicatie, een ernstige verdenking bestaat van het opzettelijk plegen van een strafbaar feit waarop een vrijheidsstraf van meer een jaar is gesteld of van een onder de §§ 278 tot en met 278b StGB genoemd strafbaar feit, of b) op grond van bepaalde feiten mag worden aangenomen dat een persoon tegen wie een ernstige verdenking bestaat van het plegen van het onder a 17

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

genoemde feit de technische voorziening zal gebruiken of daarmee een verbinding tot stand zal brengen; 4. 13

in de gevallen genoemd onder lid 2, punt 4.”

4. § 1 van het Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000; Oostenrijkse wet inzake de bescherming van persoonsgegevens; hierna: „DSG 2000”), BGBl. I 165/1999, in de versie van BGBl. I 112/2011, dat constitutionele rang heeft, luidt: „(Grondwettelijke bepaling) Grondrecht op gegevensbescherming § 1. (1) Eenieder heeft, in het bijzonder ook met het oog op de eerbiediging van zijn privé- en gezinsleven, recht op geheimhouding van de hem betreffende persoonsgegevens, voor zover een beschermenswaardig belang daarbij bestaat. Het bestaan van een dergelijk belang is uitgesloten, wanneer gegevens als gevolg van hun algemene beschikbaarheid of vanwege het feit dat zij niet herleidbaar zijn tot de betrokkene, geen recht geven op geheimhouding. (2) Voor zover het gebruik van persoonsgegevens niet van vitaal belang is voor de betrokkene dan wel met diens toestemming geschiedt, zijn beperkingen van het recht op geheimhouding toelaatbaar, zij het enkel ter bescherming van zwaarwegende, gerechtvaardigde belangen van een ander en, in geval van inmenging door een overheidsinstantie, enkel op grond van wetten die om de in artikel 8, lid 2, van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) (omissis) genoemde redenen noodzakelijk zijn. Dergelijke wetten mogen het gebruik van gegevens die naar hun aard bijzonder beschermenswaardig zijn enkel toelaten ter bescherming van zwaarwegende algemene belangen en moeten tegelijkertijd passende garanties vastleggen voor de bescherming van de geheim te houden belangen van de betrokkene. Ook in het geval van toelaatbare beperkingen dient de inmenging in het fundamentele recht steeds zo licht mogelijk te zijn en op doelgerichte wijze plaats te vinden. (3) Eenieder heeft, voor zover de hem betreffende persoonsgegevens zijn bestemd voor computerondersteunde verwerking, of voor een handmatig, dat wil zeggen zonder computerondersteuning, bijgehouden gegevensbank, krachtens wettelijke bepalingen 1. het recht om te weten wie welke gegevens over hem verwerkt, waar de gegevens vandaan komen, waarvoor ze worden gebruikt en in het bijzonder ook aan wie zij worden doorgegeven; 2. het recht op rectificatie van onjuiste gegevens en het recht op het wissen van op ontoelaatbare wijze verwerkte gegevens. 18

KÄRNTNER LANDESREGIERUNG E.A.

(4) Beperkingen van de rechten uit hoofde van lid 3 zijn enkel toelaatbaar onder de in lid 2 genoemde voorwaarden. (5)

(omissis) [bevoegdheidsvragen]” III.

14

1. In de bij het Verfassungsgerichtshof aanhangige beroepen wordt, zij het op verschillende gronden, niet alleen betoogd dat § 102a TKG 2003 het fundamentele recht op gegevensbescherming (§ 1, lid 1, DSG 2000, artikel 8 EVRM, artikel 8 van het Handvest van de grondrechten) schendt, maar ook dat de richtlijn gegevensbewaring in strijd is met artikel 8 van het Handvest van de grondrechten. Terwijl de verzoekende Landesregierung aanvoert dat de richtlijn gegevensbewaring niet in overeenstemming is met artikel 8 van het Handvest van de grondrechten, stelt verzoeker [Seitlinger] (omissis) dat de richtlijn gegevensbewaring in elk geval in strijd is met de artikelen 7, 8, 11 en 20 van het Handvest van de grondrechten.

15

1.1.

16

Volgens de verzoekende Landesregierung vormt de in de ter omzetting van de richtlijn gegevensbewaring vastgestelde bepalingen van het TKG 2003 voorziene bewaring van communicatiegegevens zonder dat sprake is van verdenking, een grove inmenging in nader omschreven fundamentele rechten. De verzoekende Landesregierung is met name van mening dat door het zonder uitzondering bewaren van alle verkeers- en locatiegegevens, terwijl de naam van de geadresseerde, alsook de frequentie en het tijdstip van de contacten bekend zijn, vaak conclusies kunnen worden getrokken met betrekking tot de inhoud van communicaties, en dat reeds de wetenschap omtrent de protocollering van de gegevens voldoende is om het communicatiegedrag te veranderen. Bovendien zijn de regelingen, gezien de twijfelachtige bewijskracht van de uit de gegevens afgeleide informatie en de eenvoudige mogelijkheid tot omzeiling (bijvoorbeeld door het gebruiken van „prepaid” tegoedkaarten voor mobiele telefoons) en gelet op de door de richtlijn gegevensbewaring nagestreefde doelstelling van het onderzoeken, opsporen en vervolgen van ernstige criminaliteit, slechts in zeer geringe mate geschikt en is de inmenging in fundamentele rechten derhalve onevenredig. De verzoekende Landesregierung stelt voorts schending van artikel 8 van het Handvest van de grondrechten. Uit de formulering van die bepaling volgt met name dat elke particulier een recht heeft op gegevensbescherming, ook tegenover de Unie. Gelet op het evenredigheidsbeginsel betoogt zij dat noch voorafgaand aan, noch tijdens het besluitvormingsproces over de richtlijn gegevensbewaring onderzoek is gedaan naar de noodzaak of naar het te verwachten resultaat van een dergelijke maatregel in verband met het onderzoeken, opsporen en vervolgen van ernstige criminaliteit.

17

1.2.

Beroep [van de Kärntner Landesregierung] (omissis):

Beroep [van Seitlinger] (omissis): 19

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

18

Ook in het individuele beroep [van Seitlinger] (omissis) wordt betoogd dat door de verplichting om gegevens te bewaren conclusies kunnen worden getrokken met betrekking tot gedragingen, gewoontes en verblijfplaatsen van de gebruiker van communicatiediensten, zodat zogenoemde „bewegingsprofielen” kunnen worden opgesteld. Verzoeker betoogt dat volgens de richtlijn gegevensbewaring aanbieders van niet-openbare communicatiediensten en -netwerken (zoals bijvoorbeeld bedrijfsnetwerken) niet aan de verplichting tot bewaring hoeven te voldoen, dat – bovendien – aanbieders van openbare internettoegangsdiensten anoniem gebruik mogelijk kunnen maken, en dat aanbieders van openbare telefoondiensten („prepaid”) tegoedkaarten kunnen aanbieden zonder dat de gegevens van de gebruiker moeten worden geregistreerd. Verzoeker voert aan dat de richtlijn gegevensbewaring wegens schending van de artikelen 7, 8, 11 en 20 van het Handvest van de grondrechten onwettig is, dan wel geen rechtsgevolgen sorteert, dat op de Oostenrijkse wetgever derhalve geen omzettingsverplichting rust en dat niet kan worden aangenomen dat de regelingen voorrang hebben boven het Oostenrijkse constitutionele recht. Verzoeker stelt derhalve voor dat het Verfassungsgerichtshof overeenkomstig artikel 267 VWEU aan het Hof van Justitie van de Europese Unie verzoekt om een prejudiciële beslissing over de vraag of de richtlijn gegevensbewaring geldig is.

19

1.3.

20

Verzoekers wijzen er om te beginnen op dat weliswaar tot nu toe op grond van de Oostenrijkse regeling reeds veelvuldig persoonsgegevens zijn vastgesteld en verwerkt, doch dat deze gegevens altijd zijn gebruikt om in individuele gevallen strafbare feiten op te lossen en te vervolgen, om een overeenkomst na te komen of om de maatschappij verschillende diensten van openbare sociale ondersteuning ter beschikking te stellen. Door de omzetting van de richtlijn gegevensbewaring worden daarentegen gegevens preventief bewaard voor het onderzoeken, opsporen en vervolgen van strafbare feiten, zonder dat sprake is van enige concrete verdenking. Dit „leidt uiteindelijk tot een omkering van beginselen, die grondrechtelijk gezien niet kan worden gerechtvaardigd”. Verzoekers (omissis) betogen dat de omzetting van de richtlijn gegevensbewaring hen benadeelt, door het verlies van „het gevoel om vrij, autonoom en zonder te worden geobserveerd te kunnen leven en niet te worden lastiggevallen, wanneer, voor zover en zolang men de wetten van de staat in acht neemt en opvolgt en niet delinquent wordt”. Verzoekers stellen onder meer schending van de artikelen 7 en 8 van het Handvest van de grondrechten, alsook schending van § 1 DSG 2000, waarbij zij zich voornamelijk baseren op de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM. Verzoekers zijn van mening dat de door de verplichting tot bewaring veroorzaakte inmenging, met name ook gelet op het ontbreken van mogelijkheden van rechterlijke bescherming, onevenredig is.

Beroep [van de overige verzoekers] (omissis):

IV.

20

KÄRNTNER LANDESREGIERUNG E.A.

21

Het Verfassungsgerichtshof heeft ten aanzien van de (omissis) beroepen overwogen:

22

1. Het Verfassungsgerichtshof is bevoegd tot beslechting van de bij hem aanhangige beroepen tot toetsing van de wet. [wordt uitgewerkt]

23

(omissis).

24

(omissis).

25

(omissis).

26

(omissis)

27

(omissis).

28

2. Twijfels over de uitlegging van het Handvest van de grondrechten, alsook over de geldigheid van richtlijn 2006/24/EG brengen het Verfassungsgerichtshof ertoe het Hof van Justitie van de Europese Unie te verzoeken om een prejudiciële beslissing.

29

3. Voorwaarde voor ontvankelijkheid van een verzoek om een prejudiciële beslissing overeenkomstig artikel 267 VWEU is, dat de verwijzende rechter de beslissing over de geldigheidsvraag noodzakelijk, dat wil zeggen nuttig acht voor de oplossing van het geschil. Het staat aan de verwijzende rechter om daarover geheel zelfstandig te beslissen (arrest Hof van 27 juni 1991, Mecanarte, C-348/89, Jurispr. blz. I-3277, punt 47).

30

Zowel de vraag naar de geldigheid van de Vorratsdatenspeicherungsrichtlinie als de vragen naar de uitlegging van artikel 8 van het Handvest van de grondrechten, is nuttig voor de oplossing van het geschil:

31

3.1. § 102a TKG 2003 is, zo blijkt uit de omzettingsgegevens en uit de wetgevingsgeschiedenis, vastgesteld ter omzetting van de richtlijn gegevensbewaring. De wettelijke regeling zet dus in wezen de volledige inhoud van de richtlijn om. Bovenvermelde § 102a, lid 1, regelt, in het kader van de omzetting van artikel 3 van de richtlijn gegevensbewaring, de fundamentele verplichting tot bewaring en voorziet, met overneming van de minimumtermijn van artikel 6 van die richtlijn, in een bewaartermijn van ten minste zes maanden. De leden 2 en 3 definiëren, in het kader van de omzetting van artikel 5 van de richtlijn gegevensbewaring, de te bewaren gegevens.

32

Deze regeling stuit in de Oostenrijkse rechtsorde op specifieke grondwettelijke eisen. Het Oostenrijks constitutioneel recht bevat een zelfstandig, van artikel 8 EVRM verschillend, fundamenteel recht op gegevensbescherming. Volgens de constitutionele bepaling van § 1 DSG 2000 heeft iedere natuurlijke of rechtspersoon het recht op geheimhouding van de hem betreffende 21

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

persoonsgegevens, voor zover een beschermenswaardig belang daarbij bestaat (§ 1, lid 1, DSG 2000, zie hierboven onder II.4). 33

§ 1, lid 2, DSG 2000 bevat een materieel wettelijk voorbehoud, dat de grenzen voor inmengingen in een fundamenteel recht nauwer afbakent dan artikel 8, lid 2, EVRM. Afgezien van gebruik van persoonsgegevens dat van vitaal belang is voor de betrokkene dan wel met diens toestemming geschiedt, zijn beperkingen van het recht op geheimhouding enkel toelaatbaar ter bescherming van zwaarwegende, gerechtvaardigde belangen van een ander en, in geval van inmenging door een overheidsinstantie, alleen op grond van wetten die om de in artikel 8, lid 2, EVRM genoemde redenen noodzakelijk zijn.

34

Voor de wettelijke grondslag verlangt § 1, lid 2, DSG 2000 – die verder gaat dan artikel 8, lid 2, EVRM – dat het gebruik van gegevens die naar hun aard bijzonder beschermenswaardig zijn enkel is toegelaten ter bescherming van zwaarwegende algemene belangen, en dat tegelijkertijd passende garanties worden vastgelegd voor de bescherming van de geheim te houden belangen van de betrokkene. Tot slot bepaalt § 1, lid 2, DSG 2000 uitdrukkelijk dat ook in het geval van toelaatbare beperkingen de inmenging in het fundamentele recht steeds „zo licht mogelijk [dient] te zijn en op doelgerichte wijze plaats [dient] te vinden”. Volgens de rechtspraak van het Verfassungsgerichtshof volgt uit deze regeling dat aan de evenredigheid van de inmenging in het fundamentele recht op gegevensbescherming, een strengere maatstaf moet worden aangelegd dan die welke reeds voortvloeit uit artikel 8 EVRM (omissis).

35

3.2. In de beroepen wordt de evenredigheid betwist, in het licht van artikel 8 van het Handvest van de grondrechten, van de in de richtlijn gegevensbewaring voorziene verplichtingen tot bewaring gedurende minstens zes maanden.

36

Mochten deze bezwaren tegen de bewaringsverplichting zelf gegrond zijn, dan zou het Recht van de Unie de omzetting eisen van een richtlijn die als onderdeel van afgeleid recht (ook) voorrang zou hebben boven het constitutioneel recht (omissis) en daarmee ook boven het fundamentele recht van § 1 DSG 2000, doordat de Oostenrijkse wetgever de richtlijn enkel zou kunnen omzetten op een wijze die het fundamentele recht schendt. Daar de wetgever echter in een dergelijk geval in zoverre geen speelruimte zou hebben voor een grondwetconforme omzetting van de richtlijn, zou het Verfassungsgerichtshof, vanwege de voorrang van de richtlijn boven het nationale fundamentele recht op gegevensbescherming, § 102a TKG 2003 niet mogen toetsen aan de maatstaf van § 1 DSG 2000.

37

3.3. Ook de inhoud van het fundamentele recht van artikel 8 van het Handvest van de grondrechten, die eveneens behoort tot de toetsingsmaatstaf van het Verfassungsgerichtshof, hangt evenwel niet enkel af van de inhoud van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, maar ook van de geldigheid van die richtlijn, omdat deze in de zin van 22

KÄRNTNER LANDESREGIERUNG E.A.

artikel 52, lid 3, laatste zin, van het Handvest van de grondrechten, medebepalend is voor de vraag of het recht van de Unie een ruimere bescherming biedt, waarmee bij het vaststellen van de inhoud en reikwijdte van het fundamentele recht op gegevensbescherming rekening moet worden gehouden. Dat de beantwoording van de vragen van uitlegging van artikel 8 van het Handvest van de grondrechten rechtstreeks gevolgen heeft voor de beslissing van het Verfassungsgerichtshof, behoeft geen nadere motivering. 38

3.4. De verenigbaarheid van de richtlijn met het Handvest van de grondrechten en de vragen van uitlegging van artikel 8 van het Handvest van de grondrechten zijn ook nog niet door het Hof van Justitie van de Europese Unie opgehelderd. Dit heeft weliswaar reeds moeten beslissen over de geldigheid van de richtlijn gegevensbewaring, doch het beroep in die zaak had enkel betrekking op de keuze van de rechtsgrondslag en niet op een eventuele schending van fundamentele rechten in verband met die richtlijn (arrest Hof van 10 februari 2009, Ierland/Europees Parlement en Raad, C-301/06, Jurispr. blz. I-593).

39

4. De volgende overwegingen hebben het Verfassungsgerichtshof ertoe gebracht het Hof van Justitie van de Europese Unie te verzoeken om een prejudiciële beslissing:

40

4.1. Volgens artikel 8, lid 1, van het Handvest van de grondrechten heeft eenieder recht op bescherming van de hem betreffende persoonsgegevens. Deze gegevens mogen overeenkomstig bovengenoemd lid 2 enkel op eerlijke wijze, voor bepaalde doeleinden en met toestemming van de betrokkene dan wel op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet, worden verwerkt. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. Voor zover het Handvest van de grondrechten rechten bevat die corresponderen met rechten welke zijn gegarandeerd door het EVRM, zijn de inhoud en reikwijdte daarvan volgens artikel 52, lid 3, van het Handvest van de grondrechten dezelfde als die welke er door laatstgenoemd Verdrag aan zijn toegekend.

41

Het Verfassungsgerichtshof gaat niet voorbij aan de inhoud en het belang van de door de richtlijn gegevensbewaring nagestreefde doelstellingen van het harmoniseren van de aan aanbieders van diensten en netwerken opgelegde verplichtingen inzake het bewaren van sommige gegevens en van het waarborgen dat die gegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van zware criminaliteit. Ook wijst het Verfassungsgerichtshof erop dat artikel 4 van de richtlijn gegevensbewaring de lidstaten verplicht om, rekening houdend met onder meer het EVRM, de procedure en de te vervullen voorwaarden vast te stellen.

42

4.2. Afgezien daarvan bestaan er twijfels omtrent de verplichting zelf om, zonder dat daar aanleiding voor bestaat, gegevens te bewaren, alsook omtrent de onvermijdelijke gevolgen daarvan. De twijfels van verzoekers zijn vooral 23

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

gebaseerd op de zwaarte van de door de gegevensbewaring veroorzaakte inmenging. Deze wordt door meerdere factoren bepaald. Allereerst bevat de richtlijn een tijdsbestek voor de bewaringstermijnen dat loopt van zes maanden tot twee jaar. Deze termijnen moeten worden beoordeeld rekening houdend met de omvang van de te bewaren gegevens. Vooralsnog is het Verfassungsgerichtshof van mening dat de bewaringstermijn aanzienlijke twijfels doet rijzen. 43

4.3. Vervolgens roept de omvang van de te bewaren gegevens twijfels op over de vraag of deze verenigbaar is met het Handvest van de grondrechten. De richtlijn maakt een massale gegevensverzameling mogelijk, zowel met betrekking tot de kring van gegevens, zelfs al is die beperkt tot een catalogus van verkeersgegevens, als met betrekking tot de niet-limitatieve personenkring alsook in verband met de overheidstaken waarvoor die verzameling wordt bevolen. De „uitgestrektheid” van de inmenging overtreft daarmee alle inmengingen in het fundamentele recht op gegevensbescherming die tot nu toe in de rechtspraak van het Verfassungsgerichtshof zijn beoordeeld, waarbij ook rekening moet worden gehouden met de mogelijkheden om de in divers verband verzamelde gegevens te koppelen (omissis).

44

4.4. De richtlijn gegevensbewaring omvat bovendien bijna uitsluitend personen die geen enkele aanleiding voor de gegevensbewaring hebben gegeven. Tegelijkertijd worden zij – onafhankelijk van hoe het gegevensgebruik concreet wordt ingericht – door de nationale wetgever – onvermijdelijk – aan een verhoogd risico blootgesteld, te weten het risico dat autoriteiten hun gegevens onderzoeken, kennis nemen van de inhoud daarvan, zich aldus op de hoogte stellen van privé gedrag van dergelijke personen en deze gegevens voor andere doeleinden hergebruiken (bijvoorbeeld als gevolg van de toevallige aanwezigheid in een bepaalde cel op een tijdstip dat voor de onderzoekende autoriteit relevant is).

45

4.5. Daarbij komt het verhoogde risico van misbruik. In dit verband is van bijzonder belang dat de in de richtlijn gegevensbewaring – en daarmee ook in de ter omzetting daarvan vastgestelde § 102a TKG 2003 – voorziene verplichting tot bewaring van persoonsgegevens verder gaat dan de tot nu toe, in verband met de verrekening van eindgebruikers- of groothandelstarieven voorziene, toestemming tot bewaring van verkeersgegevens. Gelet op de veelvoud van aanbieders van telecommunicatiediensten – en dus van bewaringsplichtigen – heeft een onoverzienbare kring van personen toegang tot verkeersgegevens die ingevolge de richtlijn gegevensbewaring minstens zes maanden moeten worden bewaard. De beveiliging tegen misbruik zou, ongeacht de inspanningen van de nationale wetgever, kunnen stuiten op „structurele grenzen”, vooral omdat onder de richtlijn ook kleinere dienstenaanbieders vallen, die, alleen al vanwege hun beperkte omvang, niet veel kunnen uitrichten waar het gaat om beveiliging tegen misbruik (omissis).

24

KÄRNTNER LANDESREGIERUNG E.A.

46

Niet in de laatste plaats ook gezien de twijfels over de geschiktheid van de richtlijn om het nagestreefde doel te bereiken, lijkt de daarmee verbonden inmenging onevenredig.

47

5. Het Verfassungsgerichtshof ziet in het hoofdgeding aanleiding om het Hof van Justitie van de Europese Unie tevens vragen te stellen over de uitlegging van artikel 8 van het Handvest van de grondrechten (omissis). Die vragen hebben betrekking op de verhouding tussen het fundamentele recht en het recht van Unie, met inbegrip van het afgeleide recht, het EVRM en de grondwetten van de lidstaten.

48

5.1. Artikel 52, lid 7, van het Handvest van de grondrechten bepaalt dat de toelichting ook in acht moet worden genomen door de rechterlijke instanties van de Unie. Volgens de toelichting op artikel 8 van dit Handvest was dit artikel 8 gebaseerd op artikel 286 EG-Verdrag, op richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, alsmede op artikel 8 EVRM en op het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, dat door alle lidstaten is bekrachtigd, en dat artikel 286 van het EG-Verdrag nu is vervangen door artikel 16 VWEU en artikel 39 VEU. Verder wordt verwezen naar verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. De richtlijn en de verordening bevatten voorwaarden en beperkingen voor de uitoefening van het recht op bescherming van persoonsgegevens (zie de toelichtingen op het Handvest van de grondrechten, PB 2007 C 303, blz. 20).

49

Het lijkt het Verfassungsgerichtshof voorshands niet duidelijk in welke verhouding het in de toelichtingen uitdrukkelijk genoemde afgeleide recht staat tot de in artikel 8, lid 2, en artikel 52, leden 1 en 3, van het Handvest van de grondrechten vervatte grenzen (vraag 2.1.), en tot de richtlijnen op datzelfde regelingsgebied (vragen 2.2. en 2.3.).

50

5.2. Het Oostenrijkse constitutionele recht kent – net als grondwetten van andere lidstaten – een eigen grondrechtelijke waarborg voor gegevensbescherming, die is neergelegd in § 1 DSG 2000. Volgens artikel 53 van het Handvest van de grondrechten wordt het door dit Handvest geboden beschermingsniveau onder andere ook door de grondwetten van de lidstaten meebepaald. Met vraag 2.4. moet worden verduidelijkt of deze rechten, voor het geval zij verdergaande bescherming bieden dan artikel 8 van het Handvest van de grondrechten, bij de beoordeling van handelingen van de lidstaten ter uitvoering van het recht van de Unie en van de geldigheid van afgeleid recht, voorrang hebben op de grenzen die voortvloeien uit het Handvest van de grondrechten zelf. Het Verfassungsgerichtshof gaat ervan uit dat binnen de werkingssfeer van het 25

VERZOEK OM EEN PREJUDICIËLE BESLISSING VAN 28. 11. 2012 – ZAAK C-594/12

Handvest van de grondrechten één enkel grondwettelijk fundamenteel recht van één enkele lidstaat niet bepalend kan zijn, en de onbeperkte toepassing van een in dat Handvest neergelegd fundamenteel recht niet kan opheffen (zie de conclusie van advocaat-generaal Bot van 2 oktober 2012 in zaak C-399/11, Melloni, punten 96 e.v.). Een hoger beschermingsniveau als dat van het Handvest van de grondrechten, voortvloeiend uit een vergelijkende juridische beoordeling van de grondwetten van de lidstaten, kan echter wel bepalend zijn, en ertoe dwingen de desbetreffende waarborg van het Handvest van de grondrechten zo uit te leggen dat deze niet onder doet voor de grondrechtelijke normen van de grondwetten van de lidstaten. 51

Deze mening wordt uiteindelijk ook ondersteund door het feit dat artikel 52, lid 4, van het Handvest van de grondrechten uitdrukkelijk bepaalt dat de door dit Handvest erkende grondrechten die voortvloeien uit de constitutionele tradities die de lidstaten gemeen hebben, in overeenstemming met die tradities moeten worden uitgelegd (zie voor het overige ook artikel 6, lid 3, VEU). Ook wanneer niet alle grondwetten van de lidstaten een eigen fundamenteel recht op gegevensbescherming bevatten, dient er niettemin van uit te worden gegaan – niet in de laatste plaats gelet op de rechtspraak van de grondwettelijke hoven van de lidstaten – dat het fundamentele recht op gegevensbescherming niet alleen in de constitutionele tradities van de lidstaten is neergelegd, maar ook behoort tot de rechten van de mens en de fundamentele vrijheden in de zin van artikel 53 van het Handvest van de grondrechten, die door de grondwetten van de lidstaten zijn erkend (zie bijvoorbeeld, naast § 1 DSG 2000, de artikelen 51, lid 2, van de Poolse grondwet of het uit artikel 2, lid 1, van de Duitse grondwet afgeleide zelfbeschikkingsrecht met betrekking tot informatie).

52

5.3. Met de laatste vraag van het Verfassungsgerichtshof (vraag 2.5.) wordt verzocht om verduidelijking van de betekenis van de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM. Die rechtspraak omvat ook talrijke uitspraken over vragen inzake gegevensbescherming. De toelichting op artikel 8 van het Handvest van de grondrechten legt echter geen verband met artikel 8 EVRM. In de toelichting bij artikel 7 van het Handvest van de grondrechten („De eerbiediging van het privéleven en van het familie- en gezinsleven”) wordt echter wél verklaard dat deze bepaling correspondeert met artikel 8 EVRM. Overeenkomstig artikel 52, lid 7, van het Handvest van de grondrechten dienen de toelichtingen bij het Handvest, die richting moeten geven aan de uitlegging van dit Handvest, door de rechterlijke instanties naar behoren in acht te worden genomen. Lid 5 van de preambule doelt uitdrukkelijk niet enkel op de toelichtingen van het praesidium van de Europese Conventie, maar ook op de rechtspraak van het Europees Hof voor de Rechten van de Mens. Gelet op het bovenstaande lijkt verduidelijking gewenst omtrent de vraag in hoeverre de rechtspraak inzake artikel 8 EVRM niet alleen bij de uitlegging van artikel 7, maar ook bij de uitlegging van artikel 8 van het Handvest van de grondrechten in acht moet worden genomen. 26

KÄRNTNER LANDESREGIERUNG E.A.

V. [procedurele vragen] 53

(omissis).

54

(omissis).

55

(omissis). (omissis)

27