TV CR JANUARI 2011
BIJ DE BUREN
67
Annotatie bij BVerfG 2 maart 2010 (Vorratsdatenspeicherung)
W.A.M. STEENBRUGGEN*
1. Inleiding Privacyliefhebbers hebben reikhalzend uitgekeken naar het eindoordeel van het Bundesverfassungsgericht (BVerfG) de Duitse constitutionele rechter, over de (Duitse implementatie van de) Dataretentierichtlijn1. Dat dit eindoordeel niet per definitie gunstig zou uitpakken voor de Duitse variant op de bewaarplicht voor verkeersgegevens, was al wel duidelijk. Eerder had het BVerfG namelijk al bij wege van voorlopige maatregel delen van de implementatiewet tijdelijk buiten werking gesteld.2 Het eindoordeel liet evenwel op zich wachten: het BVerfG wilde de uitspraak van het Hof van Justitie (HvJEG) van 10 februari 2009 over de verenigbaarheid van de Dataretentierichtlijn met het EG-recht in zijn beoordeling kunnen meenemen. Die uitspraak was voor velen teleurstellend, omdat het HvJEG zich niet uitliet over de verenigbaarheid van de Dataretentierichtlijn met de grondrechten, in het bijzonder de (informationele) privacy en het communicatiegeheim. Dat verwijt kan het BVerfG niet gemaakt worden: in deze uitspraak verwijst het, in uiterst principiële overwegingen, de Duitse wetgever terug naar de tekentafel voor een nieuwe en nu wel grondrechtconforme regeling voor de verplichte Vorratsdatenspeicherung. Het BVerfG heeft met deze uitspraak overigens niet de primeur. Die komt zover mij bekend de hoogste administratieve rechter in Bulgarije toe die al op 11 december 2008 oordeelde dat de Bulgaarse implementatiewet in strijd was met de Bulgaarse Grondwet en artikel 8 EVRM.3 De Roemeense constitutionele rechter kwam op 8 oktober 2009 tot een vergelijkbare conclusie. 4 Wel komt de uitspraak van het BVerfG een bijzonder gewicht toe. Dat geldt reeds in zijn algemeenheid: uitspraken van deze rechter over grondrechten vormen een belangrijke inspiratiebron voor rechters in andere landen waaronder onze eigen Hoge Raad.5 Deze uitspraak is echter in het bijzonder van belang, omdat daarin een Europese richtlijn ter discussie wordt gesteld. Voor het
bij de buren
* Mr. Dr. Drs. W.A.M. Steenbruggen is advocaat bij Brinkhof te Amsterdam. Deze annotatie is een bewerking van een annotatie die eerder verscheen in Mediaforum 2010-6, p. 213-220. 1 Richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (Dataretentierichtlijn), PbEU 2006 L 105, p. 54. 2 Zie BVerfG 11 maart 2008, www.bverfg.de/entscheidungen/ rs20080311_1bvr025608.html;
68
BIJ DE BUREN
JANUARI 2011 TV CR
BVerfG is de voorrang van het EU-recht boven het eigen nationale recht niet vanzelfsprekend. Hoewel het BVerfG nog nooit aan een Europese richtlijn of -verordening wegens strijd met de Duitse Grondwet verbindende kracht in Duitsland heeft ontzegd, behoudt het zich wel uitdrukkelijk en consequent dat recht voor, in het bijzonder wanneer het EU-recht de Duitse grondrechten zou schenden.6 Zie ook BVerfG 28 oktober 2008, www.bverfg.de/entscheidungen/rs20081028_ 1bvr025608.html. 3 Zie Supreme Administrative Court of the Republic of Bulgaria, Resolutie 13.627 van 11 december 2008, www.sac.government.bg/court22.nsf/d038edcf49190344c2256b7600367606/ be2c5aa4c5737523c22574ce0026 2d82?OpenDocument; informele Engelse samenvatting: www. aip-bg.org/documents/data_retention_campaign_11122008 eng.htm. 4 Curtea Constitu ional! a României, 8 oktober 2009, www.ccr.ro/decisions/pdf/ ro/2009/D1258_09.pdf. Een Engelse en een Duitse vertaling zijn beschikbaar via www.vorratsdatenspeicherung.de/content/view/342/1/lang,de/#Urteil. 5 Zie bijvoorbeeld HR 15 april 1994, NJ 1994, 608 (Valkenhorst); HR 6 januari 1995, NJ 1995, 422 (Van Gasteren) waarin de Hoge Raad zich liet inspireren door rechtspraak van het BVerfG over het algemene persoonlijkheidsrecht en het daaruit afgeleide recht op algemene zelf beschikking. 6 Zie bijvoorbeeld BVerfG 30 juni 2009, 2 BvE 2/08 (LissabonUrteil); BVerfG 12 oktober 1993, BVerfGE 89, 155 (MaastrichtUrteil). 7 Daarnaast worden nieuwe geavanceerde opsporingsmiddelen ontwikkeld die zich niet zoals de tap richten op de fase van transport, maar op de opslag bij de gebruiker. Een dergelijk middel stond centraal in een andere uitspraak van het BVerfG. Zie BVerfG 27 februari 2008 Mediaforum 2008-5,p. 223-235 (Online-Durchsuchung).
2. Dataretentierichtlijn Opsporingsinstanties en veiligheidsdiensten zien met lede ogen aan dat de telecommunicatietap zijn waarde als opsporingsmiddel steeds meer verliest. Een beetje terrorist of crimineel zorgt er tegenwoordig namelijk voor dat hij niet (op zinvolle wijze) kan worden getapt door bijvoorbeeld gebruik te maken van prepaid-telefoons, VoIP of encryptie. Als gevolg hiervan zoeken opsporingsinstanties en veiligheidsdiensten naarstig naar andere middelen die hen in staat stellen de gewenste informatie te verkrijgen. Een bewaarplicht voor verkeersgegevens vormt één van die middelen waarvan zij veel verwachten.7 En dat is niet voor niets: tegenwoordig valt immers uit de verkeersgegevens die vrijkomen bij het gebruik van elektronische communicatiediensten veel af te leiden over de communicatie van de burger (met wie communiceert hij, hoe lang), zijn interesses (welke internetpagina’s bezoekt hij) en zijn bewegingen (van waar belt hij en waar gaat hij heen?), zeker indien deze gegevens worden gekoppeld aan andere persoonsgegevens. Een bewaarplicht garandeert dat deze gegevens ook nog voor de opsporingsinstanties en veiligheidsdiensten beschikbaar zijn, nadat de elektronische communicatiedienst al is afgewikkeld en gefactureerd. Binnen de EU werd de introductie van een bewaarplicht aanvankelijk aan de individuele lidstaten zelf overgelaten. De aanslagen in New York, Madrid en Londen leidden er echter toe dat een Europese bewaarplicht prominent op de politieke agenda werd gezet. Aanvankelijk was de bedoeling dat daartoe binnen de derde pijler van de EU een kaderbesluit zou worden opgesteld. Als gevolg van inspanningen van het Europese Parlement en de Commissie is uiteindelijk evenwel gekozen voor een richtlijn binnen de eerste pijler. Deze Dataretentierichtlijn trad, ondanks massaal verzet van aanbieders en burgerrechtenorganisaties, op 3 mei 2006 in werking. Lidstaten hadden vervolgens tot 15 september 2007 de tijd om de richtlijnen in nationale wetgeving te implementeren. De Dataretentierichtlijn voorziet in de verplichte opslag van een aantal specifiek aangeduide categorieën van gegevens – waaronder niet alleen
TV CR JANUARI 2011
BIJ DE BUREN
69
verkeers-, maar ook locatie- en identificerende gegevens – die zijn gegenereerd of verwerkt in verband met een aantal specifiek in de richtlijn genoemde elektronische communicatiediensten, te weten (vaste en mobiele) telefonie, internettoegang, email en internettelefonie. De lidstaten dienen ervoor te zorgen dat aanbieders de gegevens bewaren die nodig zijn om de bron, bestemming, datum, tijdstip, duur, type communicatie, de communicatieapparatuur en de locatie van mobiele communicatieapparatuur te bepalen. Gegevens waaruit de inhoud van de communicatie valt af te leiden, mogen echter in beginsel niet worden bewaard. De richtlijn voorziet in een minimumtermijn van zes maanden en een maximumtermijn van twee jaar vanaf de datum van communicatie. In bepaalde gevallen en onder bepaalde voorwaarden kan deze termijn evenwel verlengd worden.8 De Dataretentierichtlijn lag al gezegd van het begin af aan onder vuur. Duidelijk was dat de ruime bewaarplicht die de Dataretentierichtlijn in het leven riep, op gespannen voet zou staan met het recht op privacy en het communicatiegeheim, zoals beschermd in het EVRM en de nationale constituties van de afzonderlijke lidstaten. Dat de Dataretentierichtlijn iets privacyvriendelijker was dan het aanvankelijke voorgestelde kaderbesluit – de richtlijn bevat een beperktere bewaartermijn, ziet slechts op een beperkt aantal Internetdiensten (internettoegang, email en VoIP) en omvat een kleinere hoeveelheid gegevens – deed daaraan niet af. De vraag was en is immers of een bewaarplicht met een dergelijke omvang en duur überhaupt door de privacyrechtelijke beugel kan, mede gelet op het feit dat de bewaarplicht ook ziet op gegevens van niet-verdachte personen, de effectiviteit van de maatregel ter discussie staat en uit de verkeersgegevens vaak ook de inhoud valt af te leiden. Daar komt nog bij dat de implementatie van deze maatregel allerlei praktische vragen met belangrijke grondrechtelijke implicaties oproept, zoals wie moet de gegevens opslaan, wie krijgt onder welke voorwaarden toegang tot de gegevens, hoe moeten de gegevens worden bewaard, welke beveiligingsmaatregelen moeten worden getroffen, en wie draait voor de kosten op? Deze vragen worden door de Dataretentierichtlijn niet beantwoord, maar doorgeschoven naar de lidstaten. Tot slot stond ook de rechtsgrondslag voor de bewaarplicht ter discussie: had de maatregel, nu daarmee wordt beoogd te waarborgen dat verkeersgegevens voor de opsporing en vervolging van straf bare feiten en bescherming van de nationale veiligheid beschikbaar zijn, niet binnen de derde pijler tot stand moeten worden gebracht, te meer omdat de richtlijn de interne markt slechts beperkt harmoniseert?9 Uit de uitspraak van het HVJEG van 10 februari 2009 weten we inmiddels dat het antwoord op die laatste vraag ontkennend luidt.10 Het HvJEG
8 Zo kreeg Polen bijvoorbeeld toestemming om de gegevens 15 jaar te bewaren. 9 Zie uitvoerig C.F.J. van Veen, P.P.J. van Ginneken, ‘De Dataretentierichtlijn: speelbal tussen pijlers’, Mediaforum 2009-I, p. 2 e.v. 10 Voor een kritische beschouwing, zie de noot van Joris van Hoboken bij HvJEG 10 februari 2009, P&I 2009-2, (Ierland/ Parlement en Raad).
70
BIJ DE BUREN
JANUARI 2011 TV CR
kwam in die uitspraak echter (helaas) niet toe aan de vraag of en onder welke voorwaarden de door de Dataretentierichtlijn voorgeschreven bewaarplicht verenigbaar is met het recht op privacy en het communicatiegeheim welke rechten als algemene beginselen van gemeenschapsrecht in het EG-recht doorwerken.11 Het ziet er thans naar uit dat het HvJEG zich wel over die vraag zal gaan uitlaten: op 5 mei 2010 heeft het Ierse High Court namelijk aangekondigd het HvJEG daarover prejudiciële vragen te zullen stellen.12
3. Uitspraak BVerfG Of de Dataretentierichtlijn op Europees niveau overeind zal blijven, zullen we dus nog even moeten afwachten. Het BVerfG neemt alvast een voorschotje op het antwoord en oordeelt dat de Dataretentierichtlijn als zodanig niet onverenigbaar is met de grondrechten in het Grundgesetz, juist omdat zij de nationale wetgever de ruimte biedt voor een grondwetsconforme implementatie van de bewaarplicht (zie § 185-187). Bovendien acht het BVerfG een bewaarplicht van 6 maanden, de minimumtermijn in de richtlijn, niet zonder meer in strijd met het in artikel 10 GG gecodificeerde communicatiegeheim (§ 205 en 209). Het is evenwel aan de lidstaten, in casu Duitsland, die ruimte te gebruiken voor een grondrechtsconforme implementatie. En daar gaat de Duitse wetgever bij de verplichte Vorratsdatenspeicherung de fout in.
11 Dat kon het HvJEG ook niet, omdat Ierland, de lidstaat die had verzocht om nietigverklaring van de richtlijn, geen beroep had gedaan op de nietigheidsgrond ‘schending van het EG-Verdrag of enige uitvoeringsregeling’. Deze nietigheidsgrond mag slechts door het Hof in aanmerking worden genomen als de verzoekende partij ze aanvoert. Zie K. Lenaerts, D. Arts, Europees Procesrecht, Antwerpen-Apeldoorn: Maklu 2003, p. 233. 12 Zie High Court 5 mei 2010, beschikbaar via www.digitalrights.ie/2010/05/05/high-courtdecision-on-our-data-retentionchallenge/.
3.1 De Duitse bewaarplicht Aanleiding voor deze uitspraak is het Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmassnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG van 21 december 2007 dat de Dataretentierichtlijn in het Duitse recht implementeer door (i) de artikelen 113a en 113b in de Duitse Telecommunicatiewet (Telekommunikationsgesetz – TKG) te introduceren en (ii) daarnaast art. 100g van het Duitse Wetboek van Strafvordering (Strafprozessordnung – StPO) te wijzigen. Art. 113a bevat de bewaarplicht zelf: aanbieders van openbare telecommunicatiediensten moeten de in art. 113a leden 2-5 genoemde verkeersgegevens bij vaste en mobiele telefonie, internettelefonie, SMS, MMS en andere berichtendiensten, email en internettoegang bewaren voor de duur van 6 maanden. Inhoudsgegevens mogen niet worden opgeslagen. Na afloop van de verplichte bewaartermijn van 6 maanden moeten de gegevens binnen een maand worden gewist. Art. 113b TKG bepaalt vervolgens voor welke doeleinden de ex art. 113a TKG te bewaren gegevens mogen worden verwerkt. Daarbij onderscheidt deze bepaling tussen (i) de verstrekking aan de (federale en deelstaat)autoriteiten om
TV CR JANUARI 2011
BIJ DE BUREN
71
hen in staat te stellen de gegevens te gebruiken ten behoeve van hun taken op het gebied van de strafvervolging, de voorkoming van gevaren of de taken van de inlichtingendiensten, en (ii) het gebruik door de aanbieder ten behoeve van de ex art. 113 TKG verplichte afgifte van NAWgegevens en nummers. Art. 113b TKG regelt evenwel niet wie de te bewaren gegevens onder welke voorwaarden mag oproepen en gebruiken, maar is slechts een schakelbepaling. Het gewijzigde art. 100g StPO dat ook art. 16 van het Cybercrime Verdrag (waarin een bevriezingsbevel wordt geïntroduceerd) implementeert, doet dat wel, althans voorzover het gaat om de opsporing en vervolging van ernstige strafbare feiten. De belangrijkste voorwaarden die art. 100g aan de vordering en het gebruik van verkeersgegevens stelt, zijn (i) een door feiten gesteunde verdenking van een concreet straf baar feit van aanzienlijke betekenis, (ii) de gegevens zijn noodzakelijk voor de waarheidsvinding of de opsporing van de verdachte, (iii) de rechter heeft vooraf toestemming gegeven en (iv) notificatie achteraf. Tegen de implementatiewet die op 1 januari 2008 in werking is getreden, zijn maar liefst drie verschillende constitutionele klachten, zogenaamde Verfassungsbeschwerden, ingediend. Volgens klagers (waarvan onder meer huidige Minister van Justitie deel uitmaakte) was de implementatiewet in strijd met onder meer art. 2 lid 1 jo 1 lid 1 GG (informationele privacy), art. 3 lid 1 (gelijkheidsbeginsel), art. 5 (uitingsvrijheid), art. 10 (communicatiegeheim) en art. 12 (beroepsvrijheid) en art. 14 (eigendomsgarantie).13 Het BVerfG beperkt zich bij zijn toetsing echter tot artikel 10 GG en 12 GG en acht alleen art. 10 GG geschonden. Ik laat hierna de overwegingen van het BVerfG over art. 12 GG onbesproken. 3.2 Toepasselijkheid artikel 10 GG Art. 10 GG dat het Post-, Brief- und Fernmeldegeheimnis beschermt, is de Duitse tegenhanger van ons artikel 13 Grondwet waarin het brief-, telegraaf- en telefoongeheim is neergelegd. In Nederland speelt art. 13 Grondwet geen rol van betekenis in de discussie over de grondrechtelijke toelaatbaarheid van de bewaarplicht. Het is zelfs de vraag of dit artikel überhaupt op verkeersgegevens van toepassing is.14 Bij art. 10 GG staat dat niet ter discussie: ‘Art. 10 Abs. 1 GG gewährleistet das Telekommunikationsgeheimnis, welches die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs […] vor einer Kenntnisnahme durch die öffentliche Gewalt schützt […]. Dieser Schutz erfasst dabei nicht nur die Inhalte der Kommunikation. Geschützt ist vielmehr auch die Vertraulichkeit der näheren Umstände des Kommunikationsvorgangs, zu denen insbesondere gehört, ob, wann und wie oft zwischen welchen
13 Zie www.vorratsdatenspeicherung.de/content/view/51/70/ lang,de/. 14 Zie W.A.M. Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, hst. 6.
72
BIJ DE BUREN
JANUARI 2011 TV CR
Personen oder Telekommunikationseinrichtungen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist […]’ (zie § 189). Art. 10 GG beschermt niet alleen de vertrouwelijkheid van post en traditionele telecommunicatiediensten, maar ook communicatie via nieuwe media zoals Internet en email (zie § 192). Daarmee biedt dit grondrecht, anders dan ons artikel 13 Grondwet, een ruime en technologieneutrale bescherming aan alle communicatie waarbij gebruik wordt gemaakt van post- of telecommunicatiediensten. Deze bescherming houdt niet op nadat de overheid heeft kennis genomen van de inhoud van de communicatie of de verkeersgegevens, maar strekt zich ook uit over iedere verwerking na die kennisname. Het BVerfG (§ 190):’Ein Grundrechtseingriff ist jede Kenntnisnahme, Aufzeichnung und Verwertung von Kommunikationsdaten sowie jede Auswertung ihres Inhalts oder sonstige Verwendung durch die öffentliche Gewalt.’15 Gelet hierop is niet verwonderlijk dat het BVerfG tot de conclusie komt dat zowel 113a TKG als 113b TKG en art. 100g StPO beperkingen vormen van art. 10 GG. 3.3 Toelaatbaarheid Vorratsdatenspeicherung Dat betekent dat deze bepalingen moeten voldoen aan de formele en materiële eisen die het BVerfG aan beperkingen op art. 10 GG stelt. De formele lat is in de regel, en ook in het onderhavige geval, geen werkelijk probleem. Meestal ligt de nadruk bij toetsing dan ook op de materiële eisen die het BVerfG stelt: ‘Materiell verfassungsgemäß sind die Eingriffe in das Telekommunikationsgeheimnis, wenn sie legitimen Gemeinwohlzwecken dienen und im Übrigen dem Grundsatz der Verhältnismäßigkeit genügen […] das heißt zur Erreichung der Zwecke geeignet, erforderlich und angemessen sind’ (§ 204). Ook in het onderhavige geval vormen deze materiële eisen het struikelblok.
15 Zie ook § 236: ‘Die Telekommunikationsverkehrsdaten verlieren ihren durch Art. 10 GG vermittelten Schutz nicht dadurch, dass bereits eine staatliche Stelle von ihnen Kenntnis erlangt hat.’
Aan het begin ziet het er nog goed uit voor de Duitse bewaarplicht: het BVerfG acht bijvoorbeeld een termijn van zes maanden voor de bewaring van verkeersgegevens niet per definitie onverenigbaar met de genoemde materiële eisen. Daarbij wijst het BVerfG er allereerst op dat de strafvervolging, de voorkoming van gevaren of de taken van de inlichtingendiensten legitieme doelen zijn die op zichzelf een inbreuk op het telecommunicatiegeheim kunnen rechtvaardigen. Opmerkelijk is ook dat het feit dat de bewaarplicht te omzeilen valt, volgens het BVerfG niet meteen betekent dat deze maatregel daarmee niet geschikt (geeignet) is om deze doelen te bereiken: ‘auch wenn eine solche Datenspeicherung nicht sicherstellen kann, dass alle Telekommunikationsverbindungen verlässlich bestimmten Anschlussnehmern zugeordnet werden können, und etwa Kriminelle die Speicherung durch die Nutzung von Hotspots, Internetcafés, ausländischen
TV CR JANUARI 2011
BIJ DE BUREN
Internettelefondiensten oder unter falschen Namen angemeldeten PrepaidHandys unterlaufen können, kann dies der Geeignetheit einer solchen Regelung nicht entgegenhalten werden. Diese erfordert nicht, dass das Regelungsziel in jedem Einzelfall tatsächlich erreicht wird, sondern verlangt lediglich, dass die Zweckerreichung gefördert wird’ (zie § 207).Ook mag de wetgever de maatregel als noodzakelijk beoordelen. Bij de bewaring gaat het volgens het BVerfG echter wel om een bijzonder zware ingreep op art. 10 GG (zie § 210 e.v.). Toch betekent dat niet dat de Vorratsdatenspeicherung per definitie disproportioneel is, want: a. b.
c.
de gegevens worden niet door de staat, maar door de aanbieders bewaard; de bewaarplicht is begrensd, niet alleen qua object (alleen verkeersgegevens, geen inhoud), maar ook in de tijd. Zes maanden is volgens het BVerfG echter wel zo’n beetje het grondrechtelijke maximum (zie § 215); en bovendien vormt de bewaarplicht primair een reactie op de ontwikkelingen in de telecommunicatie die nieuwe bedreigingen voor de burger hebben geschapen en de opsporing en vervolging van straf bare feiten gecompliceerd, en strekt de maatregel er niet toe die alle communicatie of activiteiten van de burger te omvatten .Het BVerfG merkt ook uitdrukkelijk op dat het laatste niet door de beugel kan (zie § 218). De bewaarplicht is een uitzondering, en moet dat ook blijven.
Dat de beperking dus als zodanig verenigbaar zou kunnen zijn met art. 10 GG, betekent niet dat de Duitse wetgever daarmee verder carte blanche heeft. In tegendeel, deze dient naar het oordeel van het BVerfG bij de vormgeving van de opslag en het gebruik van de gegevens rekening te houden met het bijzondere gewicht van een dergelijke opslag. Bij die vormgeving moet voldaan worden aan strenge grondwettelijke eisen ten aanzien van de beveiliging van de gegevens, het gebruik van de gegevens, de transparantie en de rechtsbescherming (zie § 220). En juist op deze punten schiet de Duitse implementatiewet volgens het BVerfG tekort. Allereerst bevat de Duitse wetgeving geen gedetailleerde normen over de voorgeschreven veiligheidsmaatregelen. Dat kan volgens het BVerfG niet door de beugel: ‘Eine Speicherung der Telekommunikationsverkehrsdaten im Umfang des § 113a TKG bedarf der gesetzlichen Gewährleistung eines besonders hohen Standards der Datensicherheit’. Daarbij wijst het BVerfG op aspecten als gescheiden opslag, versleuteling, beveiligde toegang en
73
74
BIJ DE BUREN
JANUARI 2011 TV CR
protocollering. De wetgever heeft bij de vormgeving van de eisen op dit vlak weliswaar enige vrijheid, maar kan de beveiliging niet simpelweg aan de aanbieders zelf overlaten (§ 221-225), hetgeen in de Duitse wet wel gebeurt. Daarnaast is het BVerfG van mening dat de beoogde bewaarplicht een wettelijke regeling voor het gebruik van de gegevens veronderstelt met specifieke, nauwkeurige en heldere regels ten aanzien van aanleiding, doel en omvang van elke beperking. Vanwege het ingrijpende karakter van de maatregel moeten in dit verband bijzondere hoge eisen worden gesteld die vergelijkbaar zijn met de eisen die aan de interceptie van de communicatie zelf worden gesteld. Zo mag volgens het BVerfG het gebruik van de gegevens ten behoeve van de vervolging van straf bare feiten pas mogelijk zijn als sprake is van een op feiten gebaseerde verdenking van een ernstig straf baar feit. Welke straf bare feiten in abstracto als ernstig moeten worden aangemerkt, is volgens het BVerfG primair een zaak voor de wetgever, maar hij merkt daarbij wel op dat deze moet waarborgen dat ook in het concrete geval sprake is van een ernstig straf baar feit dat rechtvaardigt dat de te bewaren gegevens worden gebruikt voor de opsporing (§ 226-229). Het gebruik van de gegevens voor de preventie van gevaar en de taken van de inlichtingendiensten moet op een vergelijkbare wijze worden ingeperkt. Met name mogen gegevens die voor een doel worden verstrekt, niet voor een ander doel worden verwerkt, maar moeten deze worden gewist als deze niet meer nodig zijn voor het doel waarvoor ze zijn verkregen. Ook moet volgens het BVerfG gewaarborgd worden dat de overheid niet meer gegevens verwerkt dan noodzakelijk en proportioneel is voor doeleinden van de verwerking. De wetgever heeft ten aanzien van de omvang van de verwerking echter een beleidsvrijheid: hij mag aan de rechter wiens voorafgaande toestemming voor het gebruik van de bewaarde gegevens noodzakelijk is, overlaten of alle bewaarde gegevens moeten worden verstrekt of dat bepaalde gegevens moeten worden uitgefilterd, denk bijvoorbeeld aan communicatie met personen die een vertrouwensfunctie hebben (§ 237-238). Daarnaast is volgens het BVerfG de bewaarplicht alleen in overeenstemming met het proportionaliteitsbeginsel, indien de wetgever adequate waarborgen ten aanzien van de transparantie van de gegevensverwerking en een effectieve rechtsbescherming heeft aangebracht (§ 239). De transparantie-eis verplicht in beginsel tot een kennisgeving aan de betrokkene dat zijn gegevens zullen worden gebruikt. Indien een dergelijke kennisgeving het doel van het onderzoek zou frustreren, mag volstaan worden met notificatie achteraf, maar alleen in welbepaalde gevallen en na een
TV CR JANUARI 2011
BIJ DE BUREN
75
rechterlijke beslissing. Een uitzondering op de directe kennisgeving in verband met de vervolging van straf bare feiten is denkbaar als de inbreuk op het telecommunicatiegeheim zijn doel verliest, als de kennisgeving een gevaar voor het leven van een persoon is of als belangen van derden hieraan in de weg staan. Deze eisen behoeven niet te gelden voor personen die zelf geen voorwerp van onderzoek vormen en van wie het telecommunicatieverkeer toevallig (‘bijvangst’) onderschept wordt (§ 240245). Een effectieve rechtsbescherming vereist voorts dat de bevraging of overdracht van de gegevens afhankelijk moet worden gesteld van voorafgaande rechterlijke toetsing.16 De wetgever dient ervoor te zorgen dat strikte eisen aan inhoud en motivering van de rechterlijke machtiging worden gesteld. Voor een goede controle is tevens van belang dat de autoriteiten niet rechtstreeks toegang hebben tot de gegevens, maar dat deze door de aanbieders beschikbaar worden gesteld. Rechterlijke controle vooraf is echter nog niet voldoende om een effectieve rechtsbescherming te waarborgen: de wetgever dient er ook voor te zorgen dat de inzet van de maatregel achteraf door de rechter kan worden getoetst, met name indien de betrokkene vooraf geen gelegenheid had zich tegen het gebruik van zijn gegevens te verzetten (§ 251) Tot slot zijn effectieve sancties nodig ingeval van schending van deze voorschriften (§ 252-253)). Minder strenge eisen dienen volgens het BVerfG te gelden voor het gebruik van de bewaarde verkeersgegevens voorzover deze worden gebruikt om aan de autoriteiten informatie over gebruikers van bepaalde IPadressen te verschaffen. Daarbij wijst het BVerfG erop dat de autoriteiten zelf geen kennis nemen van de preventief opgeslagen verkeersgegevens, maar slechts de beschikking krijgen over een beperkte set van relatief weinigzeggende gegevens. In zoverre valt een vergelijking te ttrekken met de het opvragen van identiteitsgegevens bij een telefoonnummer. Dat laat echter volgens het BVerfG onverlet dat ook aan dit indirecte gebruik grenzen moeten worden gesteld. Een IP-adres is namelijk veel privacygevoeliger dan een telefoonnummer. De doorgifte van een telefoonnummer kan immers worden geblokkeerd, maar de verwerking van een IP-adres niet. Daarnaast kan een IP-adres ook gekoppeld worden aan de geraadpleegde informatie: ‘Die Individualisierung der IP-Adresse als der „Telefonnummer des Internet’ gibt damit zugleich Auskunft über den Inhalt der Kommunikation. Die für das Telefongespräch geltende Unterscheidung von äußerlichen Verbindungsdaten und Gesprächsinhalten löst sich hier auf. Wird der Besucher einer bestimmten Internetseite mittels der Auskunft über eine IPAdresse individualisiert, weiß man nicht nur, mit wem er Kontakt hatte, sondern kennt in der Regel auch den Inhalt des Kontakts’ (§ 259). Een en ander betekent volgens het BVerfG dat het gebruik van de bewaarde gegevens
16 Voorzover het gaat om de inlichtingendiensten kan de wetgever in plaats van voorafgaande controle door de rechter de toetsing neerleggen bij een parlementair orgaan (zie art. 10 lid 2 GG).
76
BIJ DE BUREN
JANUARI 2011 TV CR
om identificerende gegevens over gebruikers van bepaalde IP-adressen te verschaffen, niet hoeft te worden beperkt tot gevallen waarin sprake is van een door de wetgever aangewezen ernstig straf baar feit, en dat geen rechterlijke machtiging vooraf noodzakelijk is. Dat laat evenwel onverlet dat ook deze maatregel alleen mag worden toegepast, indien daarvoor een een concrete en toereikende aanleiding voor bestaat. Bij eenvoudige overtredingen is dat in beginsel niet het geval. Tot slot moet de betrokkene (uiteindelijk) ook op de hoogte worden gesteld van het feit en waarom zijn anonimiteit is opgeheven. Het BVerfG concludeert uiteindelijk dat de Duitse implementatiewet niet aan deze eisen voldoet, zodat de verplichte Vorratsdatenspeicherung onverenigbaar is met art. 10 GG en daarmee nietig. Art. 113a TKG verwijst wat de beveiliging betreft louter naar de algemene verplichting om passende organisatorische maatregelen te nemen, en laat de concreet te nemen maatregelen aan de aanbieders zelf over. Daarmee is niet (voldoende) gewaarborgd dat de beveiliging voldoet en blijft voldoen aan de hoge eisen die het Grundgesetz stelt. Art. 113b TKG kan niet door de beugel, omdat deze bepaling slechts in zeer algemene zin aangeeft voor welke doeleinden, toegang tot de bewaarde gegevens kan worden verkregen en dus niet voldoet aan de eis dat de doeleinden van de verwerking vooraf moeten worden bepaald en nauwkeurig omschreven. Ook acht het BVerfG met art. 10 GG in strijd dat art. 113b TKG het gebruik van de te bewaren gegevens ten behoeve van verzoeken om identificerende gegevens mede toestaat in het geval van eenvoudige overtredingen. Art. 100g StPO, tot slot, voldoet om meerdere redenen niet aan de grondwettelijke eisen. Daarbij valt allereerst te wijzen op het feit dat de bepaling niet eist dat de gegevens pas bij zeer ernstige straf bare feiten mogen worden gevorderd, maar een dergelijke vordering al eerder toestaat. Daarnaast stelt de bepaling geen eisen worden gesteld aan de ernst van het concreet voorliggende straf bare feit bij door telecommunicatie gepleegde straf bare feiten. Ook op het vlak van de notificatie schiet de bepaling tekort, nu notificatie ook zonder dat de rechter eraan te pas is gekomen, achterwege kan worden gelaten.
4. Afsluitend In Brussel zal men vooral opgelucht adem hebben gehaald na deze uitspraak. Het BVerfG toont zich immers wederom ‘Europafreundlich’ door niet de Dataretentierichtlijn zelf af te schieten, maar in plaats daarvan slechts de Duitse wetgever op zijn vingers te tikken. Vooralsnog behoudt het HvJEG dus het laatste woord als het gaat om de verenigbaarheid van
TV CR JANUARI 2011
BIJ DE BUREN
77
de Dataretentierichtlijn met het recht op privacy dat ook in het Gemeenschapsrecht wordt beschermd (zie bijvoorbeeld de artikelen 7 en 8 van het EU Handvest voor de Grondrechten dat met de inwerkingtreding van het Verdrag van Lissabon verbindende kracht heeft gekregen). Toch heeft de uitspraak van het BVerfG ook consequenties voor de Dataretentierichtlijn. Eurocommissaris Reding (Justitie) zag daarin namelijk aanleiding om een voortijdige evaluatie van de Dataretentierichtlijn in gang te zetten. Het is nog te vroeg om over de uitkomsten daarvan een uitspraak te doen, maar duidelijk is al wel dat het voortbestaan van de Dataretentierichtlijn in zijn huidige vorm allerminst gegarandeerd is.17 Die opluchting was er in Berlijn zeker niet. De Duitse wetgever ziet zich nu immers voor de ondankbare taak gesteld om een nieuwe wet op te stellen die wel aan de strikte eisen voldoet die het BVerfG in deze uitspraak heeft gesteld. Consequentie van de uitspraak van het BVerfG is immers dat deze implementatiewet is vernietigd. Daarbij is ook enige voortvarendheid geboden om te voorkomen dat de Europese Commissie een infractieprocedure jegens Duitsland opstart. Of de nieuwe wet wel aan de eisen van artikel 10 Grundgesetz zal voldoen, zullen we moeten afwachten. Zeker lijkt alleen dat het BVerfG daarover nogmaals een oordeel zal moeten vellen: in Duitsland wordt al campagne gevoerd om de benodigde fondsen voor een nieuwe constitutionele klacht binnen te halen.18
17 Zie voor een eerste, zeer kritische draft van het eveluatierapport van de Commissie: www. vorratsdatenspeicherung.de/ images/RoomDocument EvaluationDirective200624EC. pdf. 18 Zie www.vorratsdatenspeicherung.de
