EU-Domstolen dømmer telelogningsdirektiv ugyldigt

Reglerne om telelogning, som EU-medlemslande har indført i 2007, er i strid med de grundlæggende rettigheder for Europas borgere, og reglerne er derfor ugyldige. Det har EU-Domstolen nu slået fast i en banebrydende afgørelse.

Siden 2007 har teleselskaber i hele EU gemt omfattende mængder information om kundernes brug af sms, tale og deres position, når telefonen var aktiv.

Men EU-reglerne - som Danmark oven i købet har suppleret med en omstridt internetlogning - er i strid med EU’s charter for grundlæggende rettigheder for borgerne. Det har EU-Domstolen afgjort tirsdag formiddag. Og dermed er hele telelogningsdirektivet ugyldigt, lyder afgørelsen fra domstolen.

»Direktivet indebærer et meget omfattende og særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, uden at dette indgreb er begrænset til det strengt nødvendige,« skriver domstolen i sin begrundelse for, at hele telelogningsdirektivet er ugyldigt.

Problemet er, at man med disse metadata om folks brug af deres telefon kan kortlægge deres liv alt for detaljeret, skriver domstolen.

Læs også: Danskerne bliver overvåget flere gange i minuttet

»Disse data kan samlet give meget præcise oplysninger om privatlivet for de personer, som data er lagret for, såsom dagligdagsvaner, faste eller midlertidige opholdssteder, udøvede aktiviteter, sociale relationer og de sociale miljøer, de færdes i. Domstolen finder, at direktivet ved at stille krav om lagring af disse data og ved at give de kompetente nationale myndigheder adgang til disse i særligt alvorlig grad gør indgreb i den grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger,« skriver EU-Domstolen.

Sagen er taget op af EU-Domstolen, efter at reglerne blev udfordret i retten i Østrig og Irland af borgerrettighedsorganisationer. Også i Danmark har reglerne været debatteret, især på grund af den såkaldte sessionslogning, som ikke var et EU-krav, men som den danske VK-regering selv fandt på at tilføje.

Meningen med sessionslogning skulle være, at politi og efterretningsvæsen også skulle kunne se, hvilke hjemmesider og tjenester en borger brugte på internettet, men i mange år kunne disse data slet ikke læses af politiet. I dag gemmer teleselskaberne 3,5 billioner datapunkter om danskernes brug af telefon og internet, og over 90 procent af disse data stammer fra sessionslogning.

Læs også: Politisk flertal mod sessionslogning - men først revision i 2015

Version2 følger op på afgørelsen.

Domstolen erklærer direktivet om lagring af data for ugyldigt

Direktivet indebærer et meget omfattende og særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, uden at dette indgreb er begrænset til det strengt nødvendige.

Direktivet om lagring af data

1. har til formål at harmonisere medlemsstaternes bestemmelser om lagring af visse data, der er genereret eller behandlet af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet. Det tilsigter således at sikre, at der er adgang til disse data med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af grov kriminalitet, især organiseret kriminalitet og terrorisme. Direktivet foreskriver således, at ovennævnte udbydere skal lagre trafikdata, lokaliseringsdata samt lignende data, der er nødvendige for at identificere abonnenten eller brugeren. Direktivet tillader derimod ikke lagring af indholdet af kommunikationen eller af indhentede oplysninger.

High Court (Irlands øverste domstol) samt Verfassungsgerichtshof (Østrigs forfatningsdomstol) har anmodet domstolen om at undersøge direktivets gyldighed, bl.a. i lyset af to grundlæggende rettigheder, der er sikret ved Den Europæiske Unions charter om grundlæggende rettigheder, nemlig den grundlæggende ret til respekt for privatlivet og den grundlæggende ret til beskyttelse af personoplysninger.

High Court skal træffe afgørelse i en sag mellem det irske selskab Digital Rights og de irske myndigheder angående lovligheden af nationale foranstaltninger, der vedrører lagring af data vedrørende elektronisk kommunikation. Der er blevet anlagt adskillige søgsmål af forfatningsretlig karakter for Verfassungsgerichtshof af Kärntner Landesregierung (regeringen i delstaten Kärnten) samt af Seitlinger, Tschohl og yderligere 11.128 sagsøgere. Disse søgsmål tilsigter at opnå annullation af den nationale bestemmelse, der gennemfører direktivet i østrigsk ret. I dommen, der afsiges i dag, erklærer domstolen direktivet for ugyldigt.

  1. Domstolen fastslår for det første, at de data, der skal lagres, gør det muligt bl.a. at få at vide, med hvem og med hvilket middel en abonnent eller en registreret bruger har kommunikeret, at fastlægge kommunikationens varighed samt det sted, hvorfra kommunikationen fandt sted, og at gøre sig bekendt med frekvensen af abonnentens eller den registrerede brugers kommunikationer med visse personer i en given periode. Disse data kan samlet give meget præcise oplysninger om privatlivet for de personer, som data er lagret for, såsom dagligdagsvaner, faste eller midlertidige opholdssteder, udøvede aktiviteter, sociale relationer og de sociale miljøer, de færdes i. Domstolen finder, at direktivet ved at stille krav om lagring af disse data og ved at give de kompetente nationale myndigheder adgang til disse i særligt alvorlig grad gør indgreb i den grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger. Endvidere kan den omstændighed, at lagring og efterfølgende anvendelse af data sker, uden at abonnenten eller den registrerede bruger informeres derom, i de pågældende personers bevidsthed skabe en følelse af, at deres privatliv er genstand for konstant overvågning.

Domstolen undersøger dernæst, om et sådant indgreb i de omhandlede grundlæggende rettigheder kan begrundes.

Domstolen fastslår, at den lagring af data, der kræves i henhold til direktivet, ikke er af en karakter, der kan krænke det væsentlige indhold af den grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger. Direktivet giver nemlig ikke mulighed for at gøre sig bekendt med indholdet af den elektroniske kommunikation som sådan og bestemmer, at udbydere af tjenester eller telenet skal overholde visse principper om beskyttelse og sikkerhed vedrørende data.

Endvidere tjener lagring af data med henblik på en eventuel udlevering af disse til de kompetente nationale myndigheder rent faktisk et formål af almen interesse, nemlig bekæmpelse af grov kriminalitet samt i sidste ende den offentlige sikkerhed.

Domstolen finder imidlertid, at EU-lovgiver ved at vedtage direktivet om lagring af data overskred de grænser, der følger af proportionalitetsprincippet.

Domstolen anfører i denne forbindelse, at EU-lovgivers skønsbeføjelse – henset dels til den vigtige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatliv, dels til omfanget og alvoren af det indgreb i denne ret, som direktivet medfører – er reduceret, således at der skal foretages en streng kontrol. Selv om den lagring af data, der kræves i henhold til direktivet, kan anses for egnet til at gennemføre det formål, der forfølges med direktivet, er det omfattende og særligt alvorlige indgreb i de omhandlede grundlæggende rettigheder ikke tilstrækkeligt afgrænset med henblik på at sikre, at det pågældende indgreb rent faktisk er begrænset til det strengt nødvendige.

For det første omfatter direktivet nemlig på generel vis samtlige enkeltpersoner, elektroniske kommunikationsmidler og trafikdata, uden at der foretages nogen sondring, begrænsning eller undtagelse i forhold til formålet om bekæmpelse af grov kriminalitet. For det andet fastsætter direktivet intet objektivt kriterium, der gør det muligt at sikre, at de kompetente nationale myndigheder kun har adgang til data og kun kan anvende disse med henblik på at forebygge, afsløre eller foretage retsforfølgning i straffesager af overtrædelser, der, henset til omfanget og alvoren af indgrebet i de omhandlede grundlæggende rettigheder, kan anses for tilstrækkeligt alvorlige til at begrunde et sådant indgreb. Tværtimod henviser direktivet alene generelt til 'grov kriminalitet', der skal defineres af hver enkelt medlemsstat i national ret. Endvidere angiver direktivet ikke de materielle og processuelle betingelser, hvorunder de kompetente nationale myndigheder kan få adgang til data og anvende dem efterfølgende. Adgangen til data er navnlig ikke betinget af en forudgående kontrol, som foretages af en retsinstans eller af en uafhængig administrativ enhed.

Hvad for det tredje angår varigheden af lagringen af data fastsætter direktivet en varighed af seks måneder uden at foretage nogen sondring mellem kategorier af data alt efter de pågældende personer eller efter den eventuelle nytteværdi af data i forhold til det forfulgte formål. Endvidere ligger varigheden mellem minimum seks måneder og maksimum fireogtyve måneder, uden at direktivet præciserer de objektive kriterier, på grundlag af hvilke varigheden af lagringen skal fastlægges med henblik på at sikre en begrænsning til det strengt nødvendige.

Domstolen fastslår endvidere, at direktivet ikke fastsætter tilstrækkelige garantier, der gør det muligt at sikre en effektiv beskyttelse af data mod risiko for misbrug samt mod ulovlig adgang til og benyttelse af data. Domstolen bemærker bl.a., at direktivet giver tjenesteudbyderne mulighed for at tage hensyn til økonomiske betragtninger i forbindelse med fastlæggelsen af det sikkerhedsniveau, de vil anvende (bl.a. for så vidt angår omkostningerne ved gennemførelsen af sikkerhedsforanstaltningerne), og at direktivet ikke sikrer en uigenkaldelig sletning af data efter lagringsperiodens ophør.

Domstolen kritiserer endelig det forhold, at direktivet ikke foreskriver, at data lagres på unionens område. Direktivet sikrer således ikke fuldt ud en uafhængig myndigheds kontrol med overholdelsen af kravene om beskyttelse og sikkerhed, således som det imidlertid er udtrykkeligt foreskrevet i chartret. En sådan kontrol, der foretages på grundlag af EU-retten, udgør imidlertid et væsentligt element ved overholdelsen af beskyttelsen af personer i forbindelse med behandling af personoplysninger.

Kommentarer (24)

Michael Lykke

Det er da en af de bedste nyheder der er kommet fra EU siden de stemte nej til ACTA aftalen. Det meste af tiden er jeg frustreret over de tåbelige tiltag der kommer derfra men engang imellem får man håbet tilbage når man ser at ikke alle er villig til at give kald på vores grundlæggende rettigheder!

Nu bør samtlige ISP'er øjeblikkeligt stoppe registreringen pr. dags dato og regeringen bør ligeledes følge trop med en øjeblikkelig afskaffelse af de ulovlige paragraffer.

Morten Abildgaard

Det kommer vel ikke til at betyde det store i praksis, fordi de fleste internetservices vi bruger ligger under USAs lovgivning.
Lad os få en seriøs europæisk cloud-provider, der kan levere services som er kontrolleret af europæiske virksomheder og EU-logivning. Så kan det gøre en forskel.

Thomas Larsen

Det er da en af de bedste nyheder der er kommet fra EU siden de stemte nej til ACTA aftalen. Det meste af tiden er jeg frustreret over de tåbelige tiltag der kommer derfra men engang imellem får man håbet tilbage når man ser at ikke alle er villig til at give kald på vores grundlæggende rettigheder!


Det er godt nok trættende konstant at høre folk bræge op om at "de er trætte af alt hvad der kommer fra EU. Så fat dog for søren at EU består af forskellige institutioner med vidt forskellige interesser. Hvis du skal forholde dig kvalificeret til EU bliver du nødt til at forstå at "EU" ikke bare er en stor grå masse men faktisk består af mange forskellige institutioner.

Det er de onde medlemmer af ministerrådet (som består af repræsentanter for medlemslandenes regeringer) der står bag stort set alt hvad der er dårligt i EU (begrænsninger på det indre marked, veto mod at samle parlamentet i Bruxelles, landbrugsstøtte, Stasi-lignende overvågning, industristøtte som eks. teleselskabernes ret til at kræve roaming-afgifter af borgere på ferie i andre EU-lande, en slap holdning til kemikaleforbud og GMO, udvidelsen af EU til at omfatte Rumænien m.v.) mens folkene i EU-domstolen som hovedregel forsvarer borgernes rettigheder hvis man ellers kan leve med at de samtidig går ind for et ekspansivt EU-mandat. Derudover har vi de folkevalgte i parlamentet der som hovedregel er på borgernes og forbrugernes side selv om de konservative nogle gange er ret lette at overtale til at repræsentere erhvervsinteresser. Kommissionen er som hovedregel nogle embedsmænd der har til opgave at fremsætte forslag til lovgivning og forhandle det igennem med parlamentet og ministerrådet.

Klaus Olesen
Jørgen Elgaard Larsen

men vil det betyde en ændring i praksis?


Det må man formode, men det kommer nok til at tage lidt tid.

I Danmark er revisionen af logningsbekendtgørelsen blevet udskudt flere år ad flere omgange - med henvisning til, at man venter på evalueringen af direktivet i EU.
I EU har man ventet på input/evaluering fra de enkelte lande - og på EU-Domstolen.

Med EU-Domstolens kendelse burde det være muligt for EU at fjerne direktivet, men sandsynligvis vil man først nærlæse kendelsen og diskutere, om man kan lave et mildere logningsdirektiv. Eller om man bliver nødt til at afskaffe det. Det kan godt tage lidt tid.

Men på et eller andet tidspunkt bortfalder direktivet nok. Så vil man gå i gang med at revidere loven i Danmark. Det kan tage yderligere tid.

Et pessimistisk gæt vil være 1-2 år. Og selv da risikerer vi, at en dansk lovgivning stadig går videre end EU-direktivet.

Omvendt kunne Folketinget med lidt mandsmod tage logningsbekendtgørelsen op til revision med det samme.

Godt nok har SF for nyligt være ude og sige, at de måske gerne ville gøre noget ved den, men at de stadig er bundet af regeringsaftalen.

Men nu er det jo en ny situation. Man kunne godt bruge EU-domstolens kendelse til at bryde et tidligere forlig.

Hvis Folketinget afskaffer logningsbekendtgørelsen før EU afskaffer direktivet, vil Danmark principielt bryde EU-reglerne. Men mon ikke EU-Domstolen vil se med meget milde øjne på det i det tilfælde? :-)

Thomas Larsen

Der er desværre et grundlæggende præmis i afgørelsen som domstolen har fået galt i halsen:

Domstolen fastslår, at den lagring af data, der kræves i henhold til direktivet, ikke er af en karakter, der kan krænke det væsentlige indhold af den grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger. Direktivet giver nemlig ikke mulighed for at gøre sig bekendt med indholdet af den elektroniske kommunikation som sådan

Det er Lene Espersens gamle metadata-argument som siden er blevet genbrugt af Obama og NSA.

Grundlæggende påstår politikerne at man ikke kan udlede noget privatlivsfølsomt om borgernes kommunikation ved at opbevare IP-adresser om de hjemmesider han har besøgt. Det er imidlertid en stor fed løgn som er blevet gendrevet mange gange - senest af et forskningsprojekt:

http://www.theguardian.com/technology/2014/mar/13/phone-call-metadata-do...

Michael Lykke

Det er godt nok trættende konstant at høre folk bræge op om at "de er trætte af alt hvad der kommer fra EU. Så fat dog for søren at EU består af forskellige institutioner med vidt forskellige interesser. Hvis du skal forholde dig kvalificeret til EU bliver du nødt til at forstå at "EU" ikke bare er en stor grå masse men faktisk består af mange forskellige institutioner.


Tak for dit nedladende svar med EU 101 viden som jeg og de fleste andre nok allerede kender til. Jeg tror vi alle sammen er klar over at EU består af mange elementer. Det ændre bare ikke på det faktum at jeg personligt at træt af de uendeligt mange tåbelige tiltag og beslutninger der kommer fra den front, uanset om det så er den ene eller anden institution. Det ændre heller ikke på det faktum at det så glæder mig når der kommer noget positivt fra den front.
Beklager at du føler behov for at jeg pensler ud præcis hvilke EU institutioner det vedrøre...

Maciej Szeliga

Nope.. fordi vi kun bruger det fra EU som passer ind i politikerns ideer.


Mnjaa... men nu er det blevet dømt til at være i strid med Menneskerettighederne hvilket ikke er et EU direktiv men en FN resolution som man i sin tid selv frivilligt underskrev (for at være med i den "bedre" halvdel af verdnen, den vestlige verden, forkæmperner for Fred, Demokrati og Menneskerettigheder).
Det bliver en politisk pinlig sag når man bliver sidestillet med Kina, Nordkorea og div. andre bananrepublikker.

Rune Larsen

1) Alt og alle må ikke overvåges altid. Logning skal tilvælges baseret på kriterier bestemt af EU.
2) Det skal begrænses, hvem der har adgang til logs. Dvs. opsættelse af processer for anmodning om adgang.
3) Der skal bedre styr på hvor længe data opbevares.
4) Data skal beskyttes med et veldefineret sikkerhedsniveau mod fx hacking.
5) Data skal opbevares indenfor EU.

Alt i alt, fuldstændigt rimelige krav.

Mathias Dannesbo

Som jeg forstår det kan Den Europæiske Unions Domstol kun dømme det ugyldigt overfor EU instanser og når nationale instanser når de implementerer EU lovgivning. Dommen dømmer det ikke i strid med menneskerettighederne at nationale instanser infører strengere lovgivning. Hvis det skulle være tilfældet skulle dommen komme fra Den Europæiske Menneskerettighedsdomstol (som ikke er en del af EU).

Erik Jensen

Nu har regeringen jo travlt med at forklare hvordan de ikke kan beskytte vores velfærdsstat pga. EU regler, så kan de vel heller ikke beskytte dette direktiv?

Andreas Bach Aaen

Der er vel intet der hindrer danske ISP'er at stoppe deres logning øjeblikligt. Dette kan spare dem kroner og øre.
Hvis den danske stat så kommer efter dem med at de ikke overholder dansk lov, så kan de trumfe med at den danske lov rækker ud over hav der er fundet ulovligt på Europæisk plan.

Det er konkurrenceforvridende, at man som dansk ISP skal leve op til disse ekstra logningskrav, da udenlandske ISP'er der opererer på dansk jord ikke skal.

Thomas Larsen

Nu har regeringen jo travlt med at forklare hvordan de ikke kan beskytte vores velfærdsstat pga. EU regler, så kan de vel heller ikke beskytte dette direktiv?


God sammenkobling som man kan håbe vil blive brugt politisk!

Min indre pessimist frygter at befolkningen er mere optaget af at fratage EU-borgere retten til at tage optjente dagpenge med over grænsen end de er af at deres pornosurferi bliver registreret og opbevaret i 12 måneder.

Hvis jeg tager fejl står justitsminister Karen Hækkerup snublende tæt på et Bødskov-moment i aftenens tv-avis.

Kevin Johansen

Eller næsten...nu får jeg aldrig mulighed for at svine 5 justitsministre til for det makværk som Jørgen Elgaard Larsen poienterede (revisions-cirkus...).

Som en lille bonus info, er her sakset fra EU-charteren i forhold til EMRK:
»I det omfang dette charter indeholder
rettigheder svarende til dem, der er sikret
ved den europæiske konvention til beskyttelse
af menneskerettigheder og grundlæggende
frihedsrettigheder, har de
samme betydning og omfang som i konventionen.
Denne bestemmelse er ikke til
hinder for, at EU-retten kan yde en mere
omfattende beskyttelse«.

Det er værd at bemærke at EMRK ER "indlemmet" i dansk lovgivning, så hvis (jeg har ikke læst dommen grundigt...ved godt den kun er et par sider) de "overtrådte" punkter i charteret er sammenfaldende, så kan de godt lukke telelovgivningen ned ASAP.

Johannes Aagaard

Det er korrekt, at EU dommen også forholder sig til et proportionalitetsprincippet i forbindelse med indsamlingen af disse logningsdata, men er hovedanken i dommen ikke, at det gældende direktiv simpelthen er for generelt og for upræcist?

Dansk lovgivning er - og tilstræbes at være - langt mere specifik og beskrivende ned i detaljen, således at dommere i mindst muligt omfang skal fortolke en given lovteksts omfang (herunder eksempelvis et gerningsindhold) og således at en befolkningen opnår højest mulig retssikkerhed ved altid at vide, hvad lovgivningen foreskriver. EU lovgivningen er til sammenligning oftest ekstremt generaliserende, upræcis og ofte meget politiserende, hvilket uvægerligt åbner op for afgørelse og domme, der er smittet af politiske strømninger. (I mine øjne fremstår mange afgørelser i EU Domstolen derfor som politiske; uindskrænket unionsvenlige, indskrænkende i forhold til national selvbestemmelse etc.)

Direktivet, som dommen retter sig i mod, er (så vidt jeg kunne orientere mig) dette (med og uden forord og bemærkninger):
http://eur-lex.europa.eu/legal-content/DA/ALL/?uri=CELEX:32006L0024
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037...

Eu Domstolens afgørelse (og ikke pressemeddelelsen) er i øvrigt at finde her: http://curia.europa.eu/juris/documents.jsf?num=C-293/12

Som det bemærkes i afgørelsen(se pressemeddelelsen, nederst side 3), så er EU Domstolens afgørelse netop ikke samtidig en national domsafsigelse. (Noget andet er så, at de danske sessionslogningsregler er noget makværk.)

Jesper Lund

Hvis Folketinget afskaffer logningsbekendtgørelsen før EU afskaffer direktivet, vil Danmark principielt bryde EU-reglerne. Men mon ikke EU-Domstolen vil se med meget milde øjne på det i det tilfælde? :-)

Med dagens dom fra EU-domstolen har der aldrig været et logningsdirektiv. Dommen om ugyldighed har virkning med tilbagevirkende kraft fra den dato, hvor logningsdirektivet trådte i kraft.

Så Folketinget kan ophæve dansk logning i morgen. Kom frisk :-)

Jesper Lund

Som det bemærkes i afgørelsen(se pressemeddelelsen, nederst side 3), så er EU Domstolens afgørelse netop ikke samtidig en national domsafsigelse.

Nej, men grundlaget for den nationale logning vil fremover være Artikel 15 stk. 1 i e-privacy direktivet 2002/58/EF, og her er en af betingelserne at indgrebet skal være i overensstemmelse med Charter om Grundlæggende Rettigheder i EU-traktaten.

Mange præmisser fra dommen (ikke alle) vil derfor også være relevante for den daske logningslov. For eksempel 58+59, der synes at udelukke at man kan registrere oplysninger om samtlige borgere.
http://eulawanalysis.blogspot.co.uk/2014/04/the-data-retention-judgment-...

Men det kommer der formentlig en grundlig juridisk vurdering af i de kommende måneder, og forhåbentlig en vurdering som ikke alene foretages af Justitsministeriet.

Den finske regering har annonceret en grundig undersøgelse af deres logningslov
http://www.lvm.fi/tiedote/4395687/eu-tuomioistuin-totesi-tietojen-sailyt...

I Nederlandene vil regeringen komme med en vurdering inden for to måneder
https://twitter.com/FBorgesius/status/453522616125763584

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Diplomuddannelsen i ledelse

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Service og brugen af de sociale medier

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Teambuilding

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Den proaktive kundeservicemedarbejder

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale

ITIL® Managing Across the LifeCycle (MALC)

Hvornår: 2015-12-14 Hvor: Storkøbenhavn Pris: kr. 17900.00