Het Hof van Justitie van de Europese Unie heeft dataretentierichtlijn 2006/24/EG, bij uitspraak van 8 april 2014 ongeldig verklaard. Het Hof acht de richtlijn in strijd met het fundamentele recht op bescherming van het privéleven en het fundamentele recht op bescherming van persoonsgegevens, zoals vastgelegd in het Handvest van de grondrechten van de Europese Unie.
De richtlijn beoogde zeker te stellen dat verkeers- en locatiegegevens beschikbaar zijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit (‘serious crime’). De richtlijn verlangt van EU-lidstaten dat zij internet- en telecomaanbieders verplichten dergelijke gegevens ten minste 6 maanden te bewaren. Het gaat om gegevens die nodig zijn om achteraf te achterhalen wie, vanwaar, wanneer en met wie communiceerde en de wijze waarop dat gebeurde.
Volgens het Hof vormt de richtlijn een bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens. Een bewaarplicht met als doel het bestrijden van internationaal terrorisme en ernstige criminaliteit zou in beginsel een dergelijke inmenging kunnen rechtvaardigen, maar de wijze waarop de bewaarplicht in de richtlijn is geregeld acht het Hof niet proportioneel.
Het hof heeft een aantal bezwaren:
-
De te bewaren gegevens betreffen vrijwel alle communicatie van praktisch de gehele Europese bevolking, zonder onderscheid, beperking of uitzondering wat betreft – kort gezegd – de vraag of de gegevens daadwerkelijk van belang zijn voor het bestrijden van ernstige criminaliteit.
-
De richtlijn verzekert niet dat de nationale autoriteiten slechts toegang hebben tot gegevens voor de bestrijding van criminaliteit die ernstig genoeg is om de bijzonder ernstige inmenging in fundamentele rechten te rechtvaardigen, en stelt onvoldoende procedurele eisen voor toegang (zoals voorafgaande toetsing door een rechte of een onafhankelijk orgaan).
-
De richtlijn maakt geen onderscheid in bewaartermijn naar gelang het noodzakelijk is om de categorieën van gegevens te bewaren.
-
De richtlijn bevat onvoldoende waarborgen tegen misbruik van of onrechtmatige toegang tot de bewaarde gegevens, en de richtlijn vereist niet dat gegevens binnen de EU worden opgeslagen, waardoor onvoldoende is gewaarborgd dat een onafhankelijk autoriteit toezicht kan houden op de beveiliging van de gegevens.
In Nederland is de bewaarplicht geïmplementeerd in hoofdstuk 13 van de Telecommunicatiewet (Tw). Telefoniegegevens moeten 12 maanden worden bewaard. Internetgegevens 6 maanden.
De bevoegdheden voor de officier van justitie en de inlichtingendiensten om de te bewaren gegevens bij telecomaanbieders op te vragen zijn geregeld in het Wetboek van strafvordering (Sv), respectievelijk de Wet op de inlichtingen en veiligheidsdiensten 2002 (Wiv 2002).
Wat betekent de uitspraak voor de Nederlandse bewaarplicht?
De Europese Commissie heeft al aangegeven, dat ongeldigheid van de richtlijn niet betekent dat lidstaten geen bewaarplicht mogen opleggen, en dat – wat de Commissie betreft – nationale wetgeving alleen hoeft te worden aangepast voor zover die in strijd is met Europees recht.
De dag van de uitspraak gaf staatssecretaris Teeven van Veiligheid en Justitie in de Tweede Kamer aan dat wat hem betreft een bewaarplicht voor telecomgegevens moet worden gehandhaafd, maar dat het kabinet de uitspraak van het Hof eerst wil besturen voordat kan worden bepaald welke gevolgen die moet hebben.
Het mag zo zijn dat ongeldigheid van de richtlijn niet betekent dat direct de Nederlandse implementatie daarvan ongeldig is, maar het ziet er nu naar uit dat moet worden aangenomen dat Nederlandse bewaarplicht een disproportionele inbreuk maakt op fundamentele rechten en niet ongewijzigd in stand kan blijven. Van telecomaanbieders kan niet worden verwacht dat zij wachten tot een rechter daarover uitspraak heeft gedaan. De minister van Economische Zaken, verantwoordelijk voor de bewaarplicht, zal snel helderheid moeten geven over zijn plannen. Wordt vervolgd.