Voor het Tijdschrift voor Internet schreven kantoorgenoot Frank Simons en ik een artikel over het dataretentiearrest dat het Bundesverfassungsgericht, het Duitse constitutionele hof, op 2 maart jl. wees.
Een voorpublicatie >>
Duitse bewaarplicht ongrondwettig. En in Nederland?
Gerrit-Jan Zwenne en Frank Simons[1]
Op 2 maart jongstleden verklaarde hetBundesverfassungsgericht de Duitse implementatie van de Europese dataretentierichtlijnongrondwettig. Volgens onze Minister van Justitie heeft dat geen implicatiesvoor Nederland. Uit strikt juridisch oogpunt heeft de minister misschiengelijk. De uitspraak van het Duitse constitutionele hof biedt echter welinzichten die ook in de discussie rond de Nederlandse bewaarplicht nuttig zijn.
1. Inleiding
De dataretentierichtlijn 2006/24/EG[2]beoogt zeker te stellen dat telecomverkeers- en locatiegegevens beschikbaarzijn voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit(‘serious crime’). De richtlijn verlangt van EU-lidstaten dat zij internet- entelecomaanbieders verplichten dergelijke gegevens ten minste 6 maanden te bewaren.Het gaat om gegevens die nodig zijn om achteraf te achterhalen wie, vanwaar,wanneer en met wie communiceerde en de wijze waarop dat gebeurde .
In Nederland is de bewaarplicht geïmplementeerd in hoofdstuk 13 van deTelecommunicatiewet (Tw).[3] Debevoegdheden voor de officier van justitie en de inlichtingendiensten om de tebewaren gegevens bij telecomaanbieders op te vragen zijn geregeld in het Wetboekvan strafvordering (Sv), respectievelijk de Wet op de inlichtingen en veiligheidsdiensten2002 (Wiv 2002). De Duitse implementatie van de richtlijn volgt in grote lijnendezelfde systematie: de bewaarplicht staat in de Telekommunikationsgesetz (TKG),de opvraagbevoegdheden vooral in de Strafprozeßordnung (StPO).
In Nederland is het vooralsnog[4]niet toegestaan dat rechters wetten in formele zin toetsen aan de Grondwet. Ditis anders in Duitsland. Het Duitse constitutionele hof, het Bundesverfassungsgericht (BVG), heeft wel demogelijkheid om de Duitse wet te toetsen aan de Duitse Grondwet, het Grundgesetz(GG). En in de procedure waar deze bijdrage over gaat, heeft het rechtscollegedit ook gedaan. In zijn beoordeling van de Duitse implementatie van de richtlijnkomt het tot het oordeel[5]dat deze in strijd is met in artikel 10.1 GG vastgelegde telecommunicatiegeheim.Voor het hof zit het probleem hem niet in de bewaarplicht zelf maar in hetontbreken van de vereiste privacywaarborgen.
In deze bijdrage bespreken wij dit arrest. Daartoe gaan wij eerstuitgebreid in op de belangrijkste overwegingen daaruit (§2). Vervolgens doenwij een eerste aanzet om de implicaties van het arrest voor Nederland te duiden(§3). Onze conclusie (§4) is dat er alle reden is om ook de implementatie vande bewaarplicht in Nederland heel kritisch te beoordelen.
2. HET BVG-ARREST
2.1 Bewaarplicht niet a priori disproportioneel
De dataretentierichtlijn verlangt dat verkeers- en locatiegegevens gedurendeten minste zes maanden en ten hoogste twee jaar vanaf de datum van decommunicatie worden bewaard.[6] InDuitsland heeft de wetgever gekozen voor de minimale bewaartermijn van zesmaanden. Volgens het BVG vormt deze, in termen van de richtlijn dus minimale bewaarplichtniettemin een bijzonder zware inbreuk op het telecommunicatiegeheim, eeninbreuk met een reikwijdte die de rechtsorde nog niet eerder kende. Maar datsluit op zichzelf niet uit dat een dergelijke bewaarplicht onder voorwaardenproportioneel kan zijn.
De overwegingen waarin het rechtscollege dit uiteenzet zijn belangrijk,omdat daarin maatstaven worden geïntroduceerd, en verdienen het om uitgebreidte worden aangehaald. Het BVG begint met bespreking van de telecombewaarplichtals zodanig en wat daarvan de bijdrage kan zijn aan het realiseren van degestelde doelen. Voor het rechtscollege is daarbij niet bepalend dat de bewaarplichtmisschien niet in alle gevallen werkt, maar dat deze kan werken. Hetrechtscollege zegt het, in onze informele vertaling, op de volgende wijze:[7]
“Een preventieve opslag vantelecommunicatieverkeersgegevens zonder aanleiding voor latere overdracht,indien daarvoor een aanleiding bestaat, aan de voor strafvervolging of deopenbare veiligheid verantwoordelijke autoriteiten of de inlichtingendienstenmag de wetgever voor het bereiken van zijn doelen als geschikt beschouwen. Erworden hierdoor mogelijkheden tot opheldering geschapen die anders nietbestonden en, in het licht van de ook voor de voorbereiding en uitvoering vanmisdrijven toenemende betekenis telecommunicatie, in veel gevallen succesvol kunnenzijn. Het is irrelevant of de door de wetgever getroffen regelingen in staatzijn om volledig alle telecommunicatieverbindingen te reconstrueren. Ook indieneen dergelijke gegevensopslag niet kan zekerstellen dat alle telecommunicatieverbindingenbetrouwbaar naar bepaalde abonnees kunnen worden teruggeleid, en bijvoorbeeldcriminelen de opslag kunnen omzeilen door gebruik te maken van hotspots,internetcafés, buitenlandse internettelefoondiensten of onder een valse naamaangemelde prepaid-mobiele telefoons, kan dit aan de geschiktheid van eendergelijke regeling niet worden tegengeworpen. Deze vergt niet dat het doel vande regeling in elk afzonderlijk geval daadwerkelijk wordt bereikt, maarverlangt slechts dat het bereiken van het doel wordt bevorderd.”
Vervolgens gaat het BVG in op de bewaarplicht van zes maanden, waarvoor deDuitse wetgever heeft gekozen. Interessant is dat het daarbij ervan uitgaat datalternatieven voor de bewaarplicht niet voorhanden zijn: [8]
“De wetgever mag een opslag vantelecommunicatieverkeersgegevens van zes maanden ook als noodzakelijkbeoordelen. Minder ingrijpende middelen, die even verreikende ophelderingsmaatregelenmogelijk maken zijn niet voorhanden.”
Wèl wijst het rechtscollege erop dat de bewaarplicht, hoewel dus a priori niet disproportioneel, toch eenongekend vergaande inbreuk betekent op grondwettelijk gewaarborgde rechten envrijheden. Daarbij gaat het in op de belangrijkste risico’s van debewaarplicht. Zo wijst het allereerst op de enorme hoeveelheid van de tebewaren gegevens en de betekenis die deze kunnen hebben voor burgers waartegenin veel gevallen geen enkele verdenking bestaat:[9]
“Het betreft bij een dergelijkeopslag echter een bijzonder zware inbreuk met een reikwijdte, die de rechtsordeniet eerder kende: over een periode van zes maanden worden praktisch alle telecommunicatieverkeersgegevensvan alle burgers vastgelegd zonder dat een toerekenbaar verwijtbaar handelen,een – ook maar abstract – gevaar of specifieke andere omstandigheden daartoeaanleiding geven. […]
Uit de gegevens is bijzonder veel afte leiden. Afhankelijk van het gebruik van telecommunicatiediensten door debetrokkenen zijn al uit de gegevens zelf – en zeker als deze dienen als aanknopingspuntvoor verder onderzoek – diepe inzichten in de sociale omgeving en deindividuele activiteiten van elke burger af te leiden. […] Van belang ishierbij ook, dat onafhankelijk van hoe het gebruik van de gegevens isingericht, het risico van burgers aanzienlijk stijgt, om aan verder onderzoekte worden onderworpen, zonder daartoe zelf aanleiding te hebben gegeven. Het opeen ongunstig tijdstip in een bepaalde mobiel netwerkcel te zijn geweest ofdoor een bepaalde persoon te zijn gebeld, is bijvoorbeeld voldoende om uitvoerigaan onderzoek te worden onderworpen en onder druk te geraken om daarover een verklaringaf te leggen. Ook de mogelijkheden van misbruik, die met een dergelijkegegevensverzameling zijn verbonden, verergeren het belastende effect. […]”
Ook van belang is dat de betrokken burgers maar in heel beperkte matekennis kunnen hebben van wat er gebeurt met de bewaarde gegevens, terwijl zijwel verwachten en mogen verwachten deze gegevens vertrouwelijk zijn en blijven.Dit leidt tot een ‘diffuus dreigend gevoel’ (‘ein diffus bedrohliches Gefühldes Beobachtetseins’) , ofwel een ‘chilling effect’: [10]
Bijzonder gewicht krijgt de opslagvan telecommunicatiegegevens verder, doordat die opslag en het voorzienegebruik van de opgeslagen gegevens door de betrokkenen niet onmiddellijk wordengemerkt, terwijl die opslag tegelijkertijd verbindingen omvat waarvan betrokkenenverwachten dat zij vertrouwelijk blijven. […] Hierdoor kan de aanleidingloze opslag van telecommunicatieverkeersgegevenseen diffuus dreigend gevoel teweeg brengen dat men wordt geobserveerd, hetgeeneen onbevangen uitoefening van grondrechten op vele gebieden kan belemmeren.
Alles afwegend komt het BVG tot de conclusie dat de zesmaanden-bewaarplicht waarvoor de Duitse wetgever heeft gekozen, niet a priori zonder meer in strijd is met degrondwet. Het wijst er daarbij wel op dat het bewaren van de gegevens moetplaatsvinden voor ‘bepaalde doeleinden’ (‘zu bestimmten Zwecken’) én dat ersprake moet zijn van wettelijke beperkingen die in verhouding staan tot devergaande inbreuk die de bewaarplicht betekent:[11]
Ondanks de buitengewone reikwijdte enhet daaruit voortvloeiende gewicht van de inbreuk is de invoering van een bewaarplichtvan zes maanden […] aan de wetgever grondwettelijk niet zonder meer verboden.Volgens bestendige rechtspraak van het Bundesverfassungsgericht is het de staatweliswaar grondwettelijk strikt verboden om persoonsgegevens op voorraad teverzamelen voor een onbepaald of nog niet bepaalbaar doel. Om een dergelijke apriori verboden vorm van gegevensverzameling gaat het bij een het preventiefzonder aanleiding opslaan van telecommunictieverbindingsgegevens echter niet inieder geval. Vindt opslag plaats voor bepaalde doeleinden, dan kan eendergelijke opslag, begrensd door een in verhouding tot de inbreuk adequate wettelijkeinrichting […] veeleer ook aan de proportionaliteitseisen in engere zin voldoen.”
Ten slotte noemt het BVG nog enkele omstandigheden die van belang zijn bijde beoordeling van de bewaarplicht en de inbreuk die deze maakt op grondwettelijkgewaarborgde rechten en vrijheden. Ditbetreft het volgende:
§ er is geensprake van centrale opslag van gegevens door de overheid,
§ de categorieënen omvang van bewaarde gegevens is beperkt, en
§ het gaat nietom allesomvattende gegevensverzameling, maar om een beperkte maatregel dieaansluit bij een specifiek gevaar.
Wij lopen een en ander af.
▪ centrale opslag door de overheid
Van belang is allereerst dat de verkeersgegevens in Duitsland niet door destaat zelf worden opgeslagen, maar door de verschillende telecom- en internetaanbieders.De staat heeft dus geen directe toegang tot deze gegevens. Dit moet door passenderegelingen en technische maatregelen moet worden zeker gesteld.[12]
▪ aantal categorieën en omvang van gegevens, en de bewaartermijn
Verder overweegt het rechtscollegedat de omvang van de bewaarde verkeersgegevens beperkt is – dit enerzijds doordat niet de inhoud van decommunicatie wordt bewaard, en anderzijds doordat de bewaartermijn in de Duitsewet is beperkt tot zes maanden. Over die bewaartermijn merkt het BVG wel nog opdat deze termijn, gezien de omvang van de gegevensverzameling en de privacygevoeligheidvan de verkeersgegevens, aan de bovengrens ligt van wat nog proportioneel is:[13]
“Welliswaar is een opslagduur van zesmaanden gezien de omvang en de aussagekraft van de opgeslagengegevens zeer lang en ligt die aan de bovengrens van hetgeen uitproportionaliteitsopverwegingen te rectbvaardigen is.”
▪ geen allesomvattende gegevensverzameling
Ook overweegt het BVG dat de Duitse bewaarplicht niet ziet op een‘allesomvattende registratie van de communicatie of activiteiten van burgers’ (‘Totalerfassungder Kommunikation oder Aktivitäten der Bürger’), maar een beperkte maatregel is die aansluit bij een specifiekgevaar van de hedendaagse telecommogelijkheden. Met moderne communicatiemiddelenkunnen kwaadwillenden eenvoudig en ongemerkt met elkaar communiceren en daarmeeworden nieuwe vormen van criminaliteit mogelijk. Voor bescherming daartegen en eeneffectieve strafvervolging is het daarom van bijzonder belang dat er zonodigkan worden gereconstrueerd wat er is gebeurd via telecommunicatie. En dat kanniet anders dan met gebruikmaking van verkeersgegevens. Daar komt bij dat door,bijvoorbeeld de toename van flat ratetariefmodellen, verkeergegevens steeds minder voor normale bedrijfsdoeleinden behoevente worden bewaard.
Het BVG overweegt echter in dat verband ook dat de bewaarplicht niet eenopstap mag vormen naar wetgeving die opslag mogelijk maakt van alle voorstrafvervolging bruikbare gegevens. De opslag van verkeersgegevens dient eenuitzondering te blijven. De bewaarplicht mag ook niet leiden tot demogelijkheid om, door samenvoeging met andere beschikbare gegevens, praktischealle activiteiten van een burger te reconstrueren:[14]
“Door een preventieve opslag vantelecommunicatieverkeersgegevens wordt de speelruimte voor verdereaanleidingloze gegevensverzamelingen ook in het kader van de Europese Unieaanzienlijk kleiner.”
2.2 Specifiekeimplementatie wèl disproportioneel
Het BVG concludeert dus dat de in de Duitse telecommunicatiewet opgenomenbewaarplicht van zes maanden niet apriori disproportioneel is. Omdat er sprake is van een ongekend vergaandeinbreuk op grondwettelijk gewaarborgde rechten en vrijheden stelt het BVG wèl strengeeisen op het gebied van achtereenvolgens:
§ de beveiligingvan de gegevens,
§ debeperkingen op het gebruik van de gegevens,
§ de transparantie,en
§ de rechtsbescherming.
Op deze gebieden dienen ‘anspruchsvolleund normenklare’ regelingen te worden getroffen. Anders kan de bewaarplichtniet als proportioneel worden aangemerkt.
Wij lopen ook deze eisen af.
▪ beveiliging
Het BVG verwacht van de Duitse wetgever dat zij aan aanbiedersgedetailleerde beveiligingseisen oplegt:[15]
Gezien de omvang van de door eendergelijke opslag geschapen gegevensbestanden en de informatie die daaruit kanworden afgeleid is de gegevensbeveiliging voor de proportionaliteit van de bestredenvoorschriften van groot belang. Dit geldt in het bijzonder, omdat de gegevensbij private dienstenaanbieders worden opgeslagen, die onder economische omstandighedenen kostendruk handelen en daarbij slechts beperkte stimulans tot vrijwaring vande veiligheid van gegevens ondervinden. […] De potentiële gevaren, die de onderhavigegegevensbestanden opleveren, staan niet toe dat beschreven beveiligingseisenaan een vrije afweging met algemene economische belangen worden onderworpen.[…] Aanknopend bij de meningen van deskundigen ligt het voor de hand, dat naarde huidige stand van de discussie in beginsel een gescheiden opslag van gegevens,een hoogwaardige encryptie, een betrouwbaar toegangsregime onder toepassing vanbijvoorbeeld het vier-ogen-principe alsmede een niet-manipuleerbare loggingzeker gesteld moeten zijn, om de veiligheid van de gegevens grondwettelijkvoldoende te waarborgen.
Vereist zijn wettelijke regelingen,die een dergelijke bijzonder hoge beveiligingsstandaard op gekwalificeerdewijze in ieder geval in de basis normenklar enbindend vaststelt. Daarbij staat het de wetgever vrij de technische uitwerkingvan de vastgestelde maatstaven aan een toezichthouder toe te vertrouwen.
Beveiliging van opgeslagen verkeersgegevens is geregeld in het Telekommunikationsgesetz. De wet verplicht aanbiedersmet betrekking tot beveiliging de op het gebied van de telecommunicatievereiste zorgplicht in acht te nemen. Aanbieders zijn verplicht een beveiligingsfunctionariste benoemen en dienen een beveiligingsplan op te stellen en aan de toezichthoudervoor te leggen. Meer gedetailleerde eisen worden niet gesteld. Het BVG acht debeveiligingseisen op deze manier niet voldoende helder vastgelegd en meent dataldus onvoldoende is gewaarborgd dat de beveiliging continu aan de technologischeontwikkelingen wordt aangepast.
▪ gebruiksbeperkingen
Het BVG stelt verder hoge eisen aan de beperking die aan het gebruik vanopgeslagen verkeersgegevens worden gesteld.[16]In onze informele vertaling:
“Doordat de verwerking van dezegegevens diep in het privéleven indringende gevolgtrekkingen en onderomstandigheden gedetailleerde persoonlijkheids- en bewegingsprofielen mogelijkmaken, kan er in dit opzicht niet zonder meer van worden uitgegaan, dat hetgebruik van deze gegevens fundamenteel minder zwaarwegend is dan het aftappenvan de inhoud van telecommunicatie. Veeleer kan ook het gebruik van zulke gegevensalleen als proportioneel worden gezien, indien dat gebruik bijzonder voornamealgemene belangen dient. Gebruik van de gegevens komt daarom alleen in aanmerkingvoor buitengewoon belangrijke vormen van bescherming van rechtsgoederen, datwil zeggen voor de bestraffing van misdrijven, die buitengewoon belangrijkerechtsgoederen bedreigen of ter afweer van gevaren voor zulke rechtsgoederen .”
De Duitse telecomwet bevat een algemene bepaling over de doeleindenwaarvoor opgeslagen verkeersgegevens mogen worden geraadpleegd. Voor hetoverige verwijst die bepaling naar andere wetgeving. Volgens deze wetgeving kunnende gegevens, in de eerste plaats, worden gebruikt voor de vervolging van strafbarefeiten. De bevoegdheid om verkeersgegevens in dat kader op te vragen isopgenomen in de Strafprozeßordnung. Die staat het opvragen van gegevens toe metbetrekking tot (i) strafbare feiten van aanzienlijke betekenis en (ii)strafbare feiten die door middel van telecommunicatie worden begaan. Het BVGacht dit onvoldoende restrictief. Verkeersgegevens mogen alleen worden gebruiktvoor de vervolging van ernstige strafbare feiten die in de wet uitputtendmoeten worden opgesomd. En daarvan is in de Duitse wet geen sprake.[17]
Daarnaast staat de Duitse wet toe dat verkeersgegevens worden gebruikt inhet kader van ‘afwending van aanmerkelijk gevaar voor de openbare veiligheid’en door inlichtingendiensten. De uitwerking hiervan wordt grotendeelsovergelaten aan toekomstige wetgeving van zowel de federale wetgever als dewetgevers van de Länder. Volgens het BVG is ook deze gebruiksmogelijkheidonvoldoende beperkt, omdat daarmee wordt toegelaten dat verkeersgegevens doorpolitie en de inlichtingendiensten kunnen worden gebruikt voor praktisch al huntaken. Het opvragen van gegevens mag, zo overweegt het hof, alleen wordentoegestaan voor gevallen waarin er een voldoende bewezen concreet gevaarbestaat. Dat geldt ook voor gebruik door de inlichtingendiensten. Het BVGerkent dat dit betekent dat in veel gevallen de inlichtingendiensten waarschijnlijkde gegevens niet zullen kunnen gebruiken, maar dat is het gevolg van de aardvan taak van inlichtingendiensten en vormt geen reden af te wijken van de opgrond van het proportionaliteitsbeginsel gestelde eisen, aldus nog steeds het BVG.[18]
Een derde gebruiksmogelijkheid die de Duitse telecommunicatiewet toestaatis indirect gebruik, dat wil zeggen: het aan de hand van een al beschikbaarinternetadres (IP-adres) vaststellen van de identiteit van de gebruikerdaarvan. Aan deze vorm van gebruik stelt het BVG minder strenge eisen.Mogelijkheden om voor dit doel gegevens te vorderen hoeft niet te wordengebonden aan een uitputtende lijst van strafbare feiten en een rechterlijk bevelis niet noodzakelijk. Voldoende is dat informatie alleen kan worden opgevraagdop grond van een voldoende op feiten gebaseerde verdenking of concreet gevaar.Ook aan deze afgezwakte eis is echter niet voldaan.[19]
Als laatste noodzakelijke vorm van begrenzing van het gebruik van verkeersgegevensnoemt het BVG dat die gegevens niet mogen worden opgevraagd voor zover zijbetrekking hebben op communicatieverkeer waarbij sprake is van een bijzonderevertrouwelijkheid. Het BVG noemt een paar voorbeelden daarvan, te weten:kerkelijke of sociale instanties die begeleiding bieden bij emotionele ofsociale problemen. De Duitse wet voorziet niet in een dergelijke beperking enmaakt ook daarom disproportionele inbreuken mogelijk
▪ transparantie
Over transparantie met betrekking tot de opslag en het gebruik vanverkeersgegevens overweegt het BVG onder meer het volgende:[20]
“Zoveel mogelijk moet het gebruik vangegevens open plaatsvinden. Voor het overige dient er in beginsel tenminste achterafkennisgeving aan de betrokkenen plaats te vinden. Blijft kennisgeving bij wijzevan uitzondering achterwege, dan behoeft dat een rechterlijke beslissing.
Preventieve opslag van alletelecommunicatieverkeersgegevens zonder aanleiding over een periode van zesmaanden is onder andere daarom een zo zwaarwegende inbreuk, omdat zij eengevoel kan veroorzaken dat men voortdurend wordt geobserveerd; zij maakt oponvoorspelbare wijze diepe inzichten in het privé-leven mogelijk, zonder dathet gebruik van de gegevens voor burgers onmiddellijk merkbaar of inzichtelijkis. Een individu weet niet wat welke overheidsinstantie over hem weet, maar hijweet dat die instanties veel, ook hoogstpersoonlijke dingen, over hem kunnenweten.
De wetgever dient de diffusedreiging, die de gegevensopslag hierdoor kan veroorzaken op te vangen dooreffectieve transparantieregels.”
De regeling met betrekking tot gebruik van opgeslagen verkeersgegevens voorstrafvervolging voldoet volgens het BVG niet aan deze transparantie-eisen. Inhet Duitse wetboek van strafvordering is de informatieplicht zelf weliswaarvoldoende geregeld, maar de rechterlijke controle op gevallen waarin kennisgevingachterwege blijft is onvoldoende geregeld. Met betrekking tot indirect gebruik van verkeersgegevens (teridentificatie van een gebruiker van een IP-adres) ontbreekt de vereisteinformatieplicht in het geheel.
Op de concrete Duitse transparantieregeling rond het gebruik van gegevensvoor de afwending van gevaar en door de inlichtingendiensten gaat het BVG nietin. Wel merkt hij op dat voor gebruikvan gegevens voor deze doeleinden een vergelijkbare regeling is vereist alsvoor gebruik voor strafvervolging:[21]
“Gebruik van de gegevens zonderwetenschap van de betrokkenen is grondwettelijk alleen toegestaan, indienanders het bereiken van het doel van het onderzoek, waarvoor de gegevens wordengebruikt, daardoor wordt verhinderd. Voor de afweer van gevaar en de uitvoeringvan taken van de inlichtingendiensten mag de wetgever dit in beginsel aannemen.[…] Indien er dwingende redenen zijn, die ook kennisgeving achteraf uitsluiten,dan vereist dat rechterlijke bevestiging en periodieke verificatie. Opovereenkomstige wijze is er een regeling vereist van informatieplichten metbetrekking tot gebruik van de gegevens voor afweer van gevaar of voor deuitvoering van taken van de inlichtingendiensten .”
▪ rechtsbescherming
Over rechtsbescherming overweegt het BVG tenslotte, weer in onze eigen vertaling,het volgende:[22]
“Voor de waarborging van effectieverechtsbescherming dient het opvragen of overdragen van deze gegevens inbeginsel te worden onderworpen aan rechterlijke toestemming. […] Voor zover eenbetrokkene voor de uitvoering van de maatregel geen gelegenheid had zich bij derechter tegen het gebruik van zijn telecommunicatieverkeersgegevens teverweren, dient voor hem gerechtelijke controle achteraf open te staan.
Ten slotte zijn voor eenproportionele regeling effectieve sancties in geval van schending van rechtenvereist. Indien ook zware schendingen van het telecommunicatiegeheim effectiefzonder sanctie zouden blijven, met als gevolg dat de bescherming van hetpersoonlijkheidsrecht, ook voor zover dat in art. 10 Abs. 1 GG een bijzondereuitwerking heeft gekregen, in het licht van het immateriële karakter van ditrecht zou verkommeren, zou dat indruisen tegen de verplichting die rust op hetstaatsgezag, om het voor het individu mogelijk te maken zijn persoonlijkheid teontplooien en hem te beschermen tegen het door derden in gevaar brengen vanzijn persoonlijkheidsrecht. Dit kan in het bijzonder het geval zijn, indienonbevoegd verkregen gegevens in vergaande mate ongehinderd gebruikt kunnenworden of onbevoegd gebruik van de gegevens bij gebrek aan materiële schaderegelmatig zonder compensatie ter genoegdoening van de betrokkene zou blijven.”
Met betrekking tot strafvervolging is de rechterlijke controle van hetopvragen en gebruik van verkeersgegevens volgens de BVG in Duitsland voldoendegewaarborgd:[23]
“De vordering van […] opgeslagengegevens behoeft krachtens art. 100g Abs. 2 Satz 1, art. 100b Abs. 1 Satz StPOeen rechterlijk bevel. Het rechterlijk bevel machtigt de autoriteiten ook niettot directe toegang tot de gegevens, maar verplicht de dienstenaanbieder dezein een eigen tussenstap met inachtneming van het bevel uit te filteren en overte dragen.”
Op de concrete Duitse rechtsbeschermingsregeling met betrekking tot gebruikin het kader van bescherming van de openbare veiligheid en doorinlichtingendiensten, en met betrekking tot indirect gebruik gaat het BVG nietin.
2.3 Het eindoordeelvan BVG
Aldus is niet voldaan aan de grondwettelijke eisen, die het BVG heeftgeformuleerd. Als zodanig is de bewaarplicht weliswaar niet a priori disproportioneel, maar de wijzewaarop deze in de Duitse wet in vormgegeven en ingericht wèl. Het BVG verklaartde relevante wettelijke bepalingen nietig.
3. Implicatiesvoor Nederland
In Nederland zijn de verplichtingen uit de dataretentierichtlijn geïmplementeerdin hoofdstuk 13 van de Telecommunicatiewet (Tw).[24] Ende bevoegdheid om de gegevens bij de internet- en telecomaanbieders op tevragen is geregeld in art. 126n, 126u en 126zh van het Wetboek vanstrafvordering (Sv) en art 28 Wiv 2002. Wat dat betreft lijkt de Nederlandsewettelijke regeling dus erg op de Duitse regeling. In Nederland is echter,anders dan in Duitsland, niet gekozen voor de minimale bewaartermijn van zesmaanden maar voor een termijn van een jaar, met dien verstande dat de ministerheeft toegezegd deze termijn voor internetaanbieders terug te brengen tot zesmaanden.[25]Ook is in Nederland ervoor gekozen om meer gegevens onder de bewaarplicht tebrengen dan de dataretentierichtlijn vereist.[26]De Nederlandse wettelijke bewaarplicht leidt dan ook tot meer en verdergaandeprivacyinbreuken dan de Duitse. En daarmee leidt de uitspraak van het Duitseconstitutionele hof uiteraard tot indringende vragen over de proportionaliteitregeling waarvoor in Nederland is gekozen.
In antwoord op Kamervragen stelde de Nederlandse Minister van Justitie zichop het standpunt dat de uitspraak van het BVG geen implicaties heeft voor desituatie in Nederland. [27]Verder verwijst hij naar evaluatie van de bewaarplicht die om de drie jaar moetplaatsvinden,[28]alsmede naar de evaluatie van de richtlijn door de Europese Commissie, die voorlater dit jaar op stapel staat.[29]Uit strikt juridisch oogpunt heeft de minister misschien gelijk. Het BVG heeftde Duitse implementatie wet getoetst aan de Duitse grondwet. En inderdaad hoeftnoch de Nederlandse wetgever noch de Nederlandse rechter zich daaraan veel gelegente laten liggen.
Maar toch. De minister maakt zich er, menen wij, veel te gemakkelijk van af.Ook in Nederland is er nog steeds veel discussie over de bewaarplicht en dewijze waarop deze in onze wet is vormgegeven.[30]Het komt ons voor dat de uitspraak van het BVG inzichten biedt waaraan in deze discussieniet voorbij mag worden gegaan, al was het maar omdat inmiddels duidelijk isdat het Europees Hof van Justitie zich inhoudelijk zal gaan uitlaten overdataretentie.[31] Uiteraard kan de Nederlandsewetgever niet voorbij gaan aan de uitspraken van deze Europese rechter.
In de laatste paragrafen van deze bijdrage gaan wij daarom in op wat deuitspraak van BVG betekent voor de wijze waarop de dataretentierichttlijn inNederland is geïmplementeerd. Wij doen dit aan de hand van de verschillende,door dit rechtscollege geïdentificeerde relevante omstandigheden en vereisten.
▪ centrale opslagdoor de overheid
Het BVG vond het uitdrukkelijk van belang dat de verkeersgegevens niet doorde overheid zelf worden opgeslagen en dat de overheid geen directe toegangheeft tot die gegevens. Dit is niet het geval in Duitsland en op dit momentevenmin in Nederland. Ook hier worden de verkeersgegevens door de aanbiedersopgeslagen en pas op vordering van de officier van justitie overgedragen. Totzover lijkt de situatie in Nederland, uitgaande van de door BVG gehanteerdemaatstaven, niet minder goed gewaarborgd dan in Duitsland. Althans, op dit moment.
In Nederland wordt intussen wel gesproken over vormen van centrale opslag.Een, in termen van efficiëntie voor de hand liggende mogelijkheid zou zijn om deopslag te standaardiseren en onder te brengen bij het CIOT,[32] eengecentraliseerde blackbox-oplossing waarin op dit moment al actueleidentificerende gegevens van internet- en telecomabonnees worden opgeslagen.[33]Op die manier zou toch een centrale opslag, en daarmee directe toegang door destaat mogelijk worden. Iets waartegen, op dit moment, nog nauwelijks waarborgenzijn getroffen. En dat is iets wat de door het BVG ontwikkelde toets waarschijnlijkniet zou kunnen doorstaan.
▪ aantal categorieënen omvang van gegevens, en de bewaartermijn
De bewaartermijn is in Nederland twaalf maanden. Bij de Tweede Kamer is eenwetsvoorstel[34]in behandeling om de bewaartermijn voor internetverkeersgegevens te verkortennaar zes maanden, welk voorstel is ingediend omdat de minister dit aan deEerste Kamer had toegezegd[35]bij de behandeling van het wetsvoorstel ter implementatie van de dataretentierichtlijn(31 145). Of de voorgestelde verkorting van de bewaartermijn gaat wordenaangenomen is overigens nog niet duidelijk.
In zijn antwoord op de voornoemde kamervragen schrijft de minister dat hijgeen reden ziet te bezien of een kortere bewaartermijn wenselijk is. Hij merktop dat de bewaartermijn van twaalf maanden door het Nederlandse parlement isgoedgekeurd en dat deze ruimschoots korter is dan het Europese maximum van 24maanden. De minister gaat er daarmee aan voorbij dat het enkele gegeven dat hetparlement met een kleine meerderheid een wetvoorstel aanneemt nog niet betekentdat het daarmee noodzakelijkerwijs in overeenstemming is met de grondwet of hetEVRM.
Ook merkt de minister op dat het BVG zich niet heeft uitgelaten over een bewaartermijnvan meer dan zes maanden. Dat is – laten wij het diplomatiek zeggen – nogalopportunistisch en valt eigenlijk niet serieus te nemen. Het Duitse hof heeftimmers nadrukkelijk overwogen dat een termijn van zes maanden, gezien de omvangen de privacygevoeligheid van de verkeersgegevens, erg lang is en aan debovengrens ligt van wat proportioneel is.
▪ allesomvattendegegevensverzameling
Volgens het BVG mag de Duitse bewaarplicht niet leiden tot de mogelijkheidom, door samenvoeging met andere beschikbare gegevens, praktische alleactiviteiten van een burger te reconstrueren. Het preventief en zonder aanleidingbewaren van verkeersgegevens moet een uitzondering blijven. De Nederlandsewetgever lijkt dit nadrukkelijk anders te zien. Het eerste initiatief voor eenvolgende preventieve gegevensverzameling is al genomen: in een brief aan deTweede kamer schrijven de Ministers van Justitie en van Binnenlandse zaken datzij een wettelijke regeling voorbereiden voor het bewaren van gegevens afkomstigvan automatische kentekenherkenningscamera’s van de politie.[36]In het licht van de uitspraak van het BVG zou een dergelijk initiatiefuitdrukkelijk moeten worden getoetst aan privacygrondrechten.
▪ beveiliging
Met betrekking tot de beveiliging merkt de minister op dat in Nederlandspecifiekere regels van kracht zijn voor de beveiliging van de te bewarengegevens door internet- en telecomaanbieders. Dat is niet onjuist. De Duitse wetverlangt niet veel meer dan de aanstelling van een functionaris voorgegevensbeveiliging en het opstellen van een beveiligingsplan, zonder daarvoorgedetailleerde voorschriften te geven. In Nederland zijn in het Besluit beveiliginggegevens telecommunicatie[37](Bbgt), en in het bijzonder in de bijlage daarbij, meer gedetailleerdevoorschriften voor aanbieders opgenomen. Echter, zover als het BVG verlangt,gaat het Bbgt menen wij toch niet. Er worden bijvoorbeeld geen eisen gesteldover de gescheiden opslag van gegevens of over encryptie.
▪ gebruiksbeperkingen
In Nederland kan de officier van justitie van internet- en telecomaanbiedersverkeersgegevens vorderen indien sprake is van een misdrijf waarvoor voorlopigehechtenis mogelijk is (art. 126n jo. 67 lid 1 Sv). Het BVG eiste van de Duitsewetgever een uitputtende lijst van ernstige misdrijven. Een beperking totmisdrijven waarvoor voorlopige hechtenis mogelijk is komt daarbij dicht in debuurt. Nog steeds zijn echter de eisen die gelden voor een vordering van detelecomverkeers- en locatiegegevens minder streng dan die welke worden gesteldaan een bevel tot aftappen. Voor aftappen is immers tevens nodig dat hetmisdrijf gezien zijn aard of de samenhang met andere door de verdachte beganemisdrijven een ernstige inbreuk op de rechtsorde oplevert (art. 126m Sv).
In de Wet op de inlichtingen en veiligheidsdiensten 2002 worden in hetgeheel geen eisen gesteld aan de omstandigheden waaronder verkeersgegevens doorde inlichtingen- en veiligheidsdiensten mogen worden gevorderd. Ook dat zoudus, in de beoordeling van het BVG, als een ernstig gebrek worden aangemerkt. Mogelijkzelfs als een fataal gebrek.
▪ transparantie
Met betrekking tot de transparantie verwijst de minister in zijn antwoordenop de gestelde kamervragen naar art. 126bb Sv. Op grond van die bepaling is de ovj verplicht schriftelijk mededeling tedoen van de uitoefening van bijzonder opsporingsbevoegdheden, waaronder hetvorderen van de verkeers- en lokatiegegevens. Zolang dat in het belang van hetonderzoek kennisgeving niet toelaat kan die echter achterwege blijven. Van eenrechterlijke toetsing van het achterwege laten van kennisgeving, hetgeen het BVGvereist, is geen sprake.
Met betrekking tot vorderingen van verkeersgegevens op grond van art. 28Wiv 2002 bestaat er echter geen mededelingsplicht. Voor het aftappen van telecommunicatieverbindingenbestaat die plicht wel (art. 34 lid 1 jo. 25 lid 1 Wiv 2002), maar die wil deminister in de toekomst nu juist aanzienlijk beperken.[38]Ook dat past niet met de visie van het BVG.
▪ rechtsbescherming
Het BVG vereist van de Duitse wetgever dat een vordering vanverkeergegevens alleen kan plaatsvinden op bevel van de rechter. Zoals ook deminister in zijn antwoorden schrijft, kan in Nederland de officier van justitiezonder bevel of machtiging van de rechter(-commissaris) verkeersgegevens bijaanbieders vorderen. Voor een bevel tot aftappen van telecommunicatieverbindingenis daarentegen overigens wel machtiging van de rechter-commissaris vereist(art. 126m lid 5 Sv).
De minister meent dat de rechtmatigheid van de overdracht van verkeersgegevensdoor de rechter kan worden getoetst bij de boordeling van een strafzaak of bijde behandeling van beklag. Hij gaat er daarmee echter wel aan voorbij dat dietoetsing alleen plaatsvindt indien wordt overgegaan tot vervolging of er beklagwordt gedaan. In gevallen waar dat niet gebeurt bestaat geen mogelijkheid voorrechterlijke toetsing, anders dan eventueel via de civiele (rest)rechter.
4. afsluitendeopmerkingen
Er is, merkten wij al op, in Nederland en elders in de EU nog steeds veeldiscussie over de bewaarplicht en de wijze waarop deze is vormgegeven in nationalewetgeving. Het BVG is in Europa niet het enige rechtscollege dat de bewaarplichtheeft beoordeeld. De hoogste rechtscolleges in zowel Roemenie[39] alsBulgarije[40]hebben geoordeeld dat de nationale implementaties van de dataretentierichtlijn(gedeeltelijk) ongrondwettig zijn. Inmiddels is duidelijk dat ook het EuropeesHof van Justitie de richtlijn en nationale implementaties inhoudelijk gaatbeoordelen.[41]Zelfs de Europese Commissie heeft aangekondigd in het kader van maatregelen omde bescherming van persoonsgegevens te versterken en de rechten van deverdediging te beschermen de dataretentierichtlijn te zullen evalueren en zonodig wijzigen.[42]
Er zijn, zoveel is wel zeker, nog steeds heel serieus te nemen twijfelsover de richtlijn als zodanig en over de wijze waaraan daaraan door nationalewetgevers uitvoering is gegeven, ook in Nederland. In dat licht doet deminister er niet verstandig aan te snel en te gemakkelijk voorbij te gaan aandit uitvoerig onderbouwde arrest van het BVG. Ook in Nederland zijn er redenen omheel kritisch te bezien hoe dataretentieverplichtingen zich verhouden tot in deGrondwet en EVRM vastgelegde fundamentele rechten en vrijheden, in hetbijzonder tot het recht op bescherming van de persoonlijke levenssfeer en hettelecommunicatiegeheim.
Op deze tekst is eenCreativeCommons Licentie (by-nc-nd 2.5 Netherlands) van toepassing. Zie voorgebruiksvoorwaarden:http://creativecommons.org/licenses/by-nc-nd/2.5/nl
[1] Gerrit-Jan Zwenne enFrank Simons zijn advocaat bij Bird & Bird te Den Haag. Gerrit-Jan isdaarnaast verbonden aan eLaw@Leiden, het centrum voor recht in deinformatiemaatschappij van de Universiteit Leiden.
[2] Richtlijn 2006/24/EGvan het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaringvan gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden vanopenbaar beschikbare elektronische communicatiediensten of van openbarecommunicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (PbEU 2006, L 105/55).
[3] Stb. 2009,333.
[4] Vgl. Wetsvoorstel-HalsemaKamerstukken II 2001/03-2009/10, 28331.
[5] BVG, 1 BvR 256/08van 2 maart 2010, Absatz-Nr. (1 – 345), <http://www.BVG.de/entscheidungen/rs20100302_1bvr025608.html>;een annotatie door W.A.M. Steenbruggen [verschijnt/is verschenen] in Mediaforum 2010/[??].
[6] Art. 6 Rl.2006/24/EG
[7] Overw. 207.
[8] Overw. 208.
[9] Overw. 210 t/m 212.
[10] Overw. 212.
[11] Overw. 213.
[12] Overw. 214.
[13] Overw. 215.
[14] Overw. 218, laatste volzin.
[15] Overw. 222-225.
[16] Overw. 227.
[17] Overw. 228.
[18] Overw. 233.
[19] Overw. 254-263, 288-291.
[20] Overw. 240-242.
[21] Overw. 243-244.
[22] Overw. 247-252.
[23] Overw. 283.
[24] Stb. 2009, 333.
[25] Handelingen I 2008/09, 40-1858.
[26] Zie G-J. Zwenne & A.H.J. Schmidt,‘Opmerkingen bij het wetsvoorstel Wet bewaarplicht telecommunicatiegegevens (TK31 145)’, Mediaforum 2008/7,bldz. 279 –281
[27] Aanhangsel Handelingen II 2009-2010, nr. 2071, p. 4, eerste alinea,laatste volzin.
[28] O.g.v. art. 13.9 Tw.
[29] Art. 14 Dataretentierichtlijn.
[30] Vgl. G-J. Zwenne& A.H.J. Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplichttelecommunicatiegegevens (TK 31 145)’, Mediaforum2008/7, bldz. 278 –285; A.H.J. Schmidt & G-J. Zwenne, ‘Recht en risico:kanttekeningen bij het voorstel voor een richtlijn over de bewaring vantelecommunicatieverkeersgegevens’, Mediaforum2005/9, p. 292-302; zie ook bijv. R. Chavannes, <http://blog.chavannes.net/2010/02/naief-opportunisme>; Opinie van veertien hoogleraren, “Wevallen ten prooi aan Europese opslaghysterie”, Trouw 26 juni 2009,<http://www.trouw.nl/opinie/podium/article2798570.ece/We_vallen_ten_prooi_aan_Europese_opslaghysterie_.html>.
[31] De Ierse High Courtheeft besloten prejudiciële vragen te stellen aan het Europese Hof; The HighCourt, Record No.: 2006/3785P, Draft Judgement/Ruling van Justice M. McKechnievan 5 mei 2010, <http://www.scribd.com/doc/30950035/Data-Retention-Challenge-Judgment-re-Preliminary-Reference-Standing-Security-for-Costs>;Zie ook <http://www.digitalrights.ie/2010/05/05/high-court-decision-on-our-data-retention-challenge/>.
[32] Het CentraalInformatiepunt Onderzoek Telecommunicatie is het onderdeel van het Ministerievan Justitie dat zich o.g.v. het Besluit verstrekking gegevens telecommunicatie(Stb. 2000, 71 lst gew, 2006, 426), is belast met het doorgeleiden vanverzoeken om en verstrekking van abonneegegevens. Zie Knol 2009 (T&C Telecomrecht) art. 13.4 aant.4; zie ook G-J. Zwenne & A.H.J.Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplichttelecommunicatiegegevens (TK 31 145)’, Mediaforum2008/7, bldz. 282-283; A.H.J. Schmidt & G-J. Zwenne, ‘Recht en risico:kanttekeningen bij het voorstel voor een richtlijn over de bewaring vantelecommunicatieverkeersgegevens’, Mediaforum2005/9, p. 299.
[33] Zie bijvoorbeeld<http://www.rijksoverheid.nl/onderwerpen/telecomwet/bewaarplicht-gegevens-telecommunicatie>(geraadpleegd op 1 mei 2010).
[34] Kamerstukken II 2009/10, 32 185.
[35] Handelingen I 2008/09, 40-1858.
[36] Kamerstukken II 2009-2010, 31 051, nr. 6.
[37] Stb 2003, 472.
[38] Kamerstukken II 2009–2010, 29 924, nr. 49.
[39] UrteaConstituţională A României, Decizia nr. 1258 van 8 oktober 2009, < http://www.legi-internet.ro/fileadmin/editor_folder/pdf/Decizie_curtea_constitutionala_pastrarea_datelor_de_trafic.pdf>, besproken in C.C. Murphy, “Romanian Constitutional Court, Decision No.1258 of 8 October 2009”, Common MarketLaw Review 2010/3, pp. 933–941; informele Engelse vertaling van deuitspraak:<http://www.legi-internet.ro/english/jurisprudenta-it-romania/decizii-it/romanian-constitutional-court-decision-regarding-data-retention.html>.
[40] Supreme Administrative Court of the Republicof Bulgaria, Resolutie № 13.627 van 11 december 2008,
<http://www.sac.government.bg/court22.nsf/d038edcf49190344c2256b7600367606/be2c5aa4c5737523c22574ce00262d82?OpenDocument>;informele Engelse samenvatting:<http://www.aip-bg.org/documents/data_retention_campaign_11122008eng.htm>.
[41] Zie voetnoot 31.
[42] Persbericht van deEuropese Commissie, IP/10/447, 20 april 2010,<http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/447>; Zieook Spiegel Online, 1 maart 2010,<http://www.spiegel.de/spiegel/0,1518,680920,00.html > en NRC Handelsblad, 11 maart 2010, p.6.