Eerder berichtte ik al kort over het arrest van het Europees Hof van Justitie van 10 februari jl, in zaak C301/06 over de data retentierichtlijn 2006/24. Zoals aangekondigd heb ik daarover inmiddels een nootje geschreven dat wordt opgenomen in het eerstvolgende nummer van het Tijdschrift voor Internetrecht (IR2009/3, bldz. 52-54). Hieronder is een voorpublicatie daarvan te lezen.
Samenvatting arrest
De dataretentie-richtlijn(2006/24) verplicht EU-lidstaten om wetgeving te implementeren betreffende debewaring van telecom- en internetgegevens met het oog op het voorkomen,onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme. De richtlijn is gebaseerd op artikel 95 van het EG-verdrag. Dit artikel biedt een grondslag voor het nemen van harmoniseringsmaatregelen ten behoeve van de totstandbrenging van de interne markt (zgn. eerste pijler). Ierland,ondersteund door Slowakije, stelt dat de richtlijn nietig moet worden verklaard omdat artikel 95 geen juiste grondslag daarvoor biedt. Ierland stelt dat het‘zwaartepunt’ van de richtlijn niet de werking van de interne markt betreft,maar het onderzoeken, opsporen en vervolgen van strafbare feiten. Dergelijkemaatregelen moeten worden vastgesteld op grond van de bepalingen van het EU-Verdrag inzake politiële en justitiële samenwerking in strafzaken (zgn.derde pijler). Het Hof is het niet met Ierland eens. Het stelt vast dat derichtlijn is vastgesteld op de juiste rechtsgrondslag omdat deze overwegend betrekking heeft op de werking van de interne markt. Het Hof verwerpt het beroep van Ierland.
Achtergrond
Verkeers-en locatiegegevens zijn gegevens over de wijze waarop gebruik wordt gemaakt vanvaste en mobiele telecomnetwerken, maar niet de inhoud van de via dezenetwerken overgebrachte communicatie. Het gaat dus om de telefoonnummers van waaruit wordt gebeld en waarnaar wordt gebeld, IP-adressen, het tijdstip en deduur van telefoongesprekken, het moment van verzending van e-mailberichten, delocatie van een mobiele telefoon of blackberry, en dergelijke. Dergelijke gegevens zijn vaak relevant bij het onderzoeken, opsporen en vervolgen vanallerlei strafbare feiten. Afhankelijk van het belang dat wordt gehecht aandergelijke gegevens hebben de verschillende EU-lidstaten dan ook regels en verplichtingen met betrekking tot het beschikbaar houden en beschikbaar stellen daarvan door telecom- en internetaanbieders aan politie en justitie of inlichtingendiensten.
In Nederland staan de verplichtingen betreffende het beschikbaar stellen van de gegevens inde artikelen 126n-126nb van het Wetboek van Strafvordering en enige bepalingenin de Wet op de inlichtingen- en veiligheidsdiensten 2002. Vooralsnog zijntelecom- en internetaanbieders in Nederland nog maar in heel beperkte mate gehouden de gegevens te bewaren en beschikbaar houden. Een beperkte bewaarplicht geldt thans alleen voor gegevens over het tijdstip van de communicatie en denummers die daarbij zijn gebruikt, alsmede het relevante gsm-basisstation. Deze gegevens moeten gedurende drie maanden door de aanbieders worden bewaard.[1]Voor overige verkeers- en locatiegegevens geldt op dit moment nog dataanbieders deze moeten verstrekken als politie, justitie of andere ‘behoeftestellers’ deze vorderen. Echter, als de aanbieder om wat voor reden dan ook niet of niet meer over deze gegevens beschikt, kan en behoeft hij deze niet te verstrekken. Van die situatie kan al snel sprake zijn omdat de telecomwetgeving[2] inbeginsel niet toestaat dat aanbieders de gegevens langer bewaren dan nodig is voor het leveren van hun telecom- of internetdiensten en de facturering daarvan.
Vanuit politie, justitie en inlichtingendiensten wordt –niet geheel onbegrijpelijk– metenige regelmaat aangedrongen op meer mogelijkheden om te kunnen beschikken over de verkeers- en locatiegegevens die relevant kunnen zijn voor de opsporing envervolging van strafbare feiten. Deze ‘behoeftestellers’ kunnen zich dan ook wel vinden in de dataretentierichtlijn 2006/24.[3]Immers, deze richtlijn verplicht Nederland en alle andere lidstaten van de EU om aanbieders te verplichten een aantal categorieën van verkeers- en locatiegegevenstussen de zes en vierentwintig maanden te bewaren. Dit ten behoeve van het onderzoeken,opsporen en vervolgen van ernstige strafbare feiten.[4] Dergelijke wetgeving beperkt daarmee het risico dat de aanbieder niet meer beschikt over gevorderde gegevens en deze dus niet behoeft te verstrekken. In zoverre betekent de richtlijn dus, in elk geval in Nederland, een (aanmerkelijke) versteviging van de mogelijkheden van politie en justitie (enz.) om verkeers-en locatiegegevens daadwerkelijk te verkrijgen.[5]
Het arrest in zaak C301/06
Het arrest van het Hof ging over de rechtsgrondslag van de dataretentierichtlijn.De richtlijn is vastgesteld op basis van artikel 95 van het EG-verdrag. Dit artikel ziet op harmonisering ten behoeve van de interne markt – dat wil zeggen:het vaststellen van maatregelen inzake de onderlinge aanpassing van de wettelijke en bestuursrechterlijke bepalingen van de lidstaten die de instelling en dewerking van de interne markt betreffen. In het Europeesrechtelijke jargon spreekt men in dat verband ook wel van ‘de eerste pijler’.
De vraagdie het Hof in zijn arrest moest beantwoorden was of de richtlijn inderdaad, zoals de gemeenschapswetgever meent, moet worden gezien als een harmoniseringsmaatregel,die op grond van dit artikel 95 van het EG-verdrag kan worden genomen. Ierland,daarbij gesteund door Slowakije, vond dat dit niet het geval was. Volgens deze lidstaat was het overwegende doel van de richtlijn niet zozeer harmonisering(eerste pijler) maar het vergemakkelijken van het onderzoek, de opsporing en de vervolging van strafbare feiten (derde pijler). En de enige geldige rechtsgrondslagdaarvoor ligt in het EU-Verdrag, niet in het EG-verdrag.[6] De relevantie van de éne of de andere pijler als grondslag houdt onder andere verband met welke instituten (de Raad, Europees Parlement) in welke mate zeggenschap hebben in de besluitvorming.
Om zijn standpunt te onderbouwen verwijst Ierland naarartikel 1, eerste lid, van de richtlijn en de considerans daarbij. Veelzeggend is de verwijzing in de considerans naar een verklaring waarin de Raad, alswetgever, wordt opgedragen om maatregelen te bestuderen cq. te overwegen methet oog op het vaststellen van gemeenschappelijke regels voor het bewaren van verkeersgegevens door telecomaanbieders,[7] onderandere naar aanleiding van de terroristische aanslagen in Londen.[8] Verder wordt in de considerans gewezen op de noodzaak om op Europees niveau te waarborgen dat verkeer- en locatiegegevens gedurende een bepaalde periode onder specifieke voorwaarden worden bewaard – dit gelet op het belang daarvan voorhet onderzoeken, opsporen en vervolgen van strafbare feiten.[9] Volgens Ierland wijst een en ander, en nog wel meer,[10]erop dat het ‘zwaartepunt’ van de richtlijn ligt in het in alle lidstaten invoeren van een bewaarplicht met betrekking tot de gegevens, en niet zozeer in het harmoniseren van dergelijke verplichtingen.
Het Hof is het daar niet mee eens. Het toetst doel en inhoud van de richtlijn en komtvervolgens tot het oordeel dat deze terecht op artikel 95 van het EG-verdrag isgebaseerd.
§ Wat betreft het doel van de richtlijn verwijst het Hofnaar enkele overwegingen in de considerans van de richtlijn, waarin wordt gesproken over de juridische en technische verschillen tussen de nationaleregelingen op het gebied van het bewaren van gegevens door de aanbieders.[11] In verband daarmee geeft het Hof aan dat de in verschillende lidstaten geldendebewaarplichten voor aanbieders een grote economische weerslag hebben, omdatdeze substantiële investeringen en exploitatiekosten met zich brengen. Volgenshet Hof wijst dat erop dat de verschillen tussen de nationale regelingen dewerking van de interne markt rechtstreeks kunnen beïnvloeden of kunnen gaanbeïnvloeden. In deze situatie, aldus overweegt het Hof, worden aangenomen dat de richtlijn inderdaad bedoeld is om de werking van de interne markt te verbeteren.
§ Wat betreft de inhoud van richtlijn stelt het Hof vast dat de bepalingen van de richtlijn zich beperken tot de activiteiten van telecom-en internetaanbieders. De richtlijn gaat, zo redeneert het Hof, over het harmoniserenvan de in verschillende lidstaten geregelde bewaarplichten als zodanig (art.3), de te bewaren categorieën gegevens (artikel 5), de bewaartermijn (artikel6), de bescherming en beveiliging van de gegevens (artikel 7) en de opslag daarvan (artikel 8). Deze bepalingen hebben, zo overweegt het Hof, nadrukkelijkgeen betrekking op de door de aanbieders aangeboden diensten, en evenmin op de toegang tot de daarvoor gegenereerde verkeers- en locatiegegevens of hetgebruik daarvan door politie en justitie, en andere behoeftestellers. Verder gaat de richtlijn niet over de uitwisseling van de gegevens of de samenwerking vanpolitie en justitie, of anderszins over activiteiten die normaal gesproken vallen binnen de werkingssfeer van het EU-Verdrag (derde pijler).2]
Een en ander is voor het Hof reden om aan te nemen dat richtlijn 2006/24 overwegend betrekkingheeft op de werking van de interne markt. En dus dat deze kan worden gebaseerd op artikel 95 van het EG-verdrag.
Het passagiersgegevensarrest
Interessant is hoe het arrest zich verhoudt tot het passagiersgegevensarrest van 30 mei2006.[13]In dit arrest ging het om de gegevens over passagiers die luchtvaartmaatschappijennaar de autoriteiten in de VS moesten doorsturen. Evenals in het datarententiearrest moesten zij dit doen ten behoeve van onderzoek naar en bestrijding, opsporing en vervolging van ernstige strafbare feiten, meer in het bijzonder terrorisme. In het passagiersgegevensarrest ging het evenwel niet zozeer om het voor politie en justitie en dergelijke bewaren en beschikbaarhouden van gegevens, maar om het verstrekken ervan.
Waar het Hof beslissende betekenis aan toekent is dat de passagiersgegevens niet per sé nodig waren voor het verlenen vande diensten door de luchtvaartmaatschappijen. De verstrekking van deze gegevensis alleen nodig (althans wordt alleen nodig geacht) voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. En dat betekent dat daarop gerichte maatregelen vallen onder de werkingssfeer van het EU-verdrag (derde pijler).Voor de verkeers- en locatiegegevens ligt dat volgens het Hof in het onderhavige arrest anders. In de redenering van het Hof zijn deze gegevens sowieso nodig om telecom- eninternetdiensten te verlenen. Waar het gaat om het nemen van maatregelen met betrekking tot deze gegevens gaat het dus, in de redenering van het Hof, om activiteiten die niet zozeer verband houden met activiteiten van politie en justitie, maar veeleer met de werking van de interne markt.
Wat ervan te vinden?
Ik kan de redenering van het Hof volgen, maar vind die niet overtuigend. Ik kan mij,evenals anderen,[14]niet aan de indruk onttrekken dat het de gemeenschapswetgever wel degelijk omte doen was om het introduceren van een bewaarplicht in de lidstaten, en niet zozeer om het wegwerken van verschillen in de nationale wetten van de lidstaten. De voorgeschiedenis van de richtlijn[15]en de door Ierland aangehaalde overwegingen duiden daar wat mij betreft onmiskenbaar op.
Als het om de werking van de interne markt te doen zou zijn geweest, dan is niet goed uit te leggen dat de richtlijn geen bepalingen bevat over wie opdraait voor deniet geringe kosten die moeten worden gemaakt om de gegevens te bewaren. Wat de werking van de interne markt kan verstoren, is dat de éne lidstaat ertoe overgaat om (sommige) aanbieders te compenseren, en de andere niet. Een dergelijke marktverstoring is niet denkbeeldig, zo blijkt uit de discussie[16]die thans in Nederland wordt gevoerd met betrekking tot de implementatie vanhet Wetsvoorstel bewaarplicht telecommunicatiegegevens.[17]Ook de in de richtlijn gegeven nogal ruim bemeten bandbreedte voor de bewaartermijn – ten minste 6 en ten hoogste 24 maanden – duidt volgens mij nietop de wens om nationale wetgeving binnen de Europese Unie te harmoniseren.
Wat de twijfel over de bedoelingen van de gemeenschapswetgever nog versterkt is dat de richtlijn niet aangeeft hoe en in hoeverre de werking van de interne marktwordt gehinderd door de verschillen in de nationale regelingen van delidstaten. De richtlijn volstaat met de stellingname dat…
“…de juridische en technische verschillentussen de nationale bepalingen op het gebied van het bewaren van gegevens tenbehoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten [..] de werking van de interne markt voor elektronische communicatie [belemmeren].”
En ditomdat volgens de richtlijn…
“[d]e aanbieders van diensten immers wordengeconfronteerd met uiteenlopende voorschriften wat betreft de categorieën tebewaren verkeers- en locatiegegevens, de bewaringsvoorwaarden en bewaringstermijnen.”
Er isdus, volgens de gemeenschapswetgever, sprake van belemmeringen met betrekking tot de werking van de interne markt omdat er ‘uiteenlopende voorschriften’zijn. Ik vind dat te kort door de bocht. Op talloze gebieden is sprake vanuiteenlopende voorschriften, maar dat is op zichzelf nog geen reden om te harmoniseren.[18]Er moet meer aan de hand zijn, en dat vergeet de gemeenschapswetgever gemakshalve aan te geven.
Alles bijelkaar komt het nogal geforceerd over om vol te houden dat de dataretentierichtlijn gaat over de interne markt. De harmonisering wordt er, zogezegd, met de harenbijgesleept. Het lijkt erop dat de gemeenschapswetgever de verschillende overwegingen over harmonisering, waar het Hof beslissende betekenis aantoekent, vooral heeft opgenomen om de richtlijn ‘artikel 95 bestendig’ of‘ECoJ-proof’ te maken. Als ik mij beperk tot Nederland is duidelijk dat derichtlijn ertoe leidt dat politie, justitie en andere behoeftestellers meer mogelijkheden verkrijgen om te kunnen beschikken over verkeers- en locatiegegevens. Daar is wat voor te zeggen, maar heeft weinig te maken met de interne markt, en alles met onderzoek, opsporing en vervolging van strafbare feiten.
Wat ik maar wil zeggen is dat de dataretentierichtlijn, gelet op de inhoud en kennelijkebedoeling daarvan, al met al weinig bijdraagt aan de werking van interne markt.Ik heb in elk geval niet de indruk dat telecom- en internetaanbieders dankzijde richtlijn meer kansen zien om activiteiten te ontplooien in anderelidstaten. Integendeel.
Dit gezegd hebbend is het, in termen van rechtsbescherming en –waarborgen, niettemin niet verkeerd dat is gekozen voor artikel 95 EG-verdrag als grondslag. Hetalternatief zou een kaderbesluit zijn op grond van het EU-verdrag. En juist daaropvalt in termen van privacybescherming, rechtstatelijkheid en democratische legitimering veel aan te merken – al was het maar omdat het Europees Parlementbij deze grondslag weinig te zeggen heeft en het Europees Hof van Justitie slechts beperkte toetsingsmogelijkheden heeft.[19]
Op deze tekst is een CreativeCommons-Licentie (by-nc-nd 2.5 Netherlands) van toepassing.
[1] O.g.v. art. 13.4, tweedelid, van de Telecommunicatiewet (Tw) jo. art. 7 Besluit bijzondere vergaringnummergegevens telecommunicatie (Stb.2002, 31)
[2] Art. 11.5 Tw.
[3] Richtlijn 2006/24/EG van het Europees Parlement en de Raadvan 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd ofverwerkt in verband met het aanbieden van openbaar beschikbareelektronische-communicatiediensten of van openbare communicatienetwerken en totwijziging van richtlijn 2002/58/EG, PbEGL 105/54)
[4] Zie voor een overzicht vande te bewaren gegeven art. 5, eerste lid, van de dataretentierichtlijn.
[5]Zwenne 2009 (T&C Telecomrecht e.a.),art. 11.13, aant. 3;Knol 2009 (T&C Telecomrecht e.a.),art. 13.2a Wetsvoorstel 31145, aant. 1 t/m 4.
[6] Nl. titel VI, m.n. art.30, 31, lid 1, sub c, en 34, lid 2, sub b, van het EU-verdrag
[7] Zie overw. 8 van deconsiderans bij de richtlijn; Europese Raad, 25 maart 2004, Declaration on combattingterrorism (www.consilium.europa.eu).
[8] Zie overw.10 van de considerans bij de richtlijn; Europese Raad 13 juli 2005, Pressrelease extraordinary council meeting Justice and Home affairs, 11116/05(presse 187).
[9] Vgl. overw. 11 van deconsiderans bij de richtlijn.
[10] Vgl. overw. 7, 9 en 21 vande considerans bij de richtlijn, alsmede artikel 1, eerste lid daarvan.
[11] Zie overw. 5 en 6 vanconsiderans bij de richtlijn.
[12] Vgl. overw. 25 van deconsiderans en artikel 4 van de richtlijn.
[13] Vgl.EHvJ van 30 mei 2006, C317/04 en C318/04 (Parlement/Raad en Commissie) Jurispr. 2006, p. I-04721.
[14] G-J. Zwenne & A.H.J.Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplicht telecommunicatiegegevens’Mediaforum 2008/7-8, p. 278-285; C.van Veen & P. van Ginneken, ‘De dataretentierichtlijn: Speelbal tussenpijlers’, Mediaforum 2009/1, p. 2-10;J. van Hoboken, ‘AG’s opinion on data retention Directive is flawed’, 15 oktober2008 (www.jorisvanhoboken.nl).
[15] Zie m.n. overw. 9 en 11 inde considerans van de richtlijn.
[16] Zie F.P. Sickinghe, ‘Debewaarplicht: slimme overheid versus domme boeven’, IR 2009/1, p. 14-15
[17] Kamerstukken I en II 2008/09, 31145, nrs. 1 t/m 16, A t/m E.
[18] G-J. Zwenne & A.H.J.Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplicht telecommunicatiegegevens’Mediaforum 2008/7-8, p. 278-279.
[19] Vgl. P. Blok, ‘Rechtszaakvan het Europarlement is geen zegen voor privacy van de luchtvaartreiziger’, NJB 2006/25, p. 1367; zie ook A.H.J.Schmidt & G-J Zwenne 2005, ‘Recht en risico: kanttekeningen bij hetvoorstel voor een richtlijn over de bewaring van telecommunicatiegegevens’, Mediaforum 2005/9, p. 292-302.