EU-domstolens dom over datalagringsdirektivet har med rette fått stor oppmerksomhet. Det hører med til sjeldenhetene at domstolen i Luxembourg setter foten ned overfor EUs lovgivende organer. De fleste av direktivets motstandere satt nok sin lit til Menneskerettighetsdomstolen i Strasbourg fremfor til EUs egen domstol. Selv den mektige tyske forfatningsdomstolen vek tilbake fra å overprøve selve direktivet da den i 2010 slo fast at den tyske lovgivningen som gjennomførte direktivet i tysk rett var i strid med den tyske grunnloven, på grunn av for uklare og svake personverngarantier.
Gitt den tidvis meget opphetede politiske diskusjonen knyttet til datalagringsdirektivet, ikke minst i kjølvannet av avsløringene av amerikanske myndigheters omfattende overvåkning av nær sagt enhver form for elektronisk kommunikasjon, kunne EU-domstolen kunne knapt valgt en bedre sak for å demonstrere at den tar EU-borgernes grunnleggende rettigheter på alvor.
Forbausende klar dom
Vel så oppsiktsvekkende som utfallet er dommens premisser. EU-domstolen er nemlig forbausende klar: Direktivets regler om datalagring representerer et meget omfattende og særlig alvorlig inngrep i retten til respekt for privatlivet og til beskyttelse av personopplysninger.
EU-domstolens bygninger i Luxembourg (foto: EU-domstolen).
Dommerne anerkjenner riktignok at direktivet forfølger et legitimt formål (kriminalitetsbekjempelse) og de slår også fast at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata, men de er samtidig meget klare på at det må foretas en streng kontroll av om EUs lovgivende organer har sørget for å begrense inngrepet i borgernes grunnleggende rettigheter til det strengt nødvendige. Utfallet av denne kontrollen er oppløftende for personvernet og tilsvarende nedslående for EU-kommisjonen, Europaparlamentet og medlemsstatene som stemte for direktivet i Rådet: Direktivet favner for vidt ved at det på generelt vis krever lagring av alle trafikkdata, uten at der foretas noen sondring, begrensning eller unntak tilpasset det angitte formålet om bekjempelse av grov kriminalitet. Direktivet inneholder heller ingen definisjon av begrepet grov kriminalitet – dette er overlatt til medlemsstatene. Og myndighetenes tilgang til lagrede teledata er heller ikke betinget av samtykke fra en uavhengig instans (en domstol eller et uavhengig forvaltningsorgan).
Ugyldig — med “tilbakevirkende” kraft
Også varigheten av lagringen slår EU-domstolen ned på: Direktivet knesetter en minste lagringstid på seks måneder uten å sondre mellom ulike typer data eller deres nytteverdi i forhold til formålet om kriminalitetsbekjempelse. Og direktivet åpner for lagring helt opp til to år, uten å angi noen kriterier for å sikre at data ikke lagres lenger enn strengt nødvendig. Direktivet sikrer heller ikke ugjenkallelig sletting av data etter lagringsperiodens utløp.
Dom og dokumenter
Endelig – og vel med en dårlig skjult henvisning til amerikanske myndigheter – kritiserer EU-domstolen den omstendighet at direktivet ikke krever at dataene skal lagres i EU. Muligheten for lagring utenfor EU medfører at direktivet ikke sikrer at lagringen vil være under EU-rettslig kontroll, noe som ifølge domstolen er helt avgjørende for å sikre at lagringen skjer i overensstemmelse med EU-borgernes grunnleggende rettigheter.
Konklusjonen er knusende: Datalagringsdirektivet er ugyldig. EU-domstolen finner derfor ikke engang grunn til å gå inn på spørsmålet om direktivet også er i strid med ytringsfriheten. Og enda viktigere – i motsetning til domstolens egen generaladvokat er ikke dommerne villige til å holde direktivet kunstig i live inntil EU eventuelt kommer opp med nye, mer begrensede og mer presise regler om lagring av trafikkdata. Dommen rammer følgelig med «tilbakevirkende» kraft: Direktivet har aldri vært gyldig. En konsekvens av dette er blant annet at medlemsstater som tidligere er blitt bøtelagt for ikke å ha overholdt direktivets gjennomføringsfrist, nå kan kreve bøtene tilbakebetalt fra Kommisjonen. Med renter.
Begrenser politikernes handlingsrom
Selv om det er riktig at EU-domstolen ikke stenger døren for enhver form for lagring av teledata, så inneholder dommen meget klare føringer for EUs og medlemsstatenes politiske handlingsrom.
For det første er det grunn til å merke seg domstolens påpekning av at lagring og hemmelig bruk av alle slike data er et skritt i retning av et overvåkingssamfunn:
[T]he fact that data are retained and subsequently used without the subscriber or registered user being informed is likely to generate in the minds of the persons concerned the feeling that their private lives are the subject of constant surveillance (avsnitt 37).
Dommen lest under ett etterlater liten tvil om at EU-domstolen ikke anser dette som noen ønskelig utvikling, for å uttrykke det forsiktig.
Dommerne ved EU-domstolen (foto: EU-domstolen).
For det annet er dommernes anerkjennelse av at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata interessant fordi den er knyttet til den omstendighet at datalagringsdirektivet ikke krever lagring av innholdet i kommunikasjonen. EU-domstolen formulerer seg her på et vis som mer enn antyder at generell lagring av innhold aldri kan rettferdiggjøres (avsnitt 39). I kjølvannet av Snowden-avsløringene kan dette være en rettslig avklaring av større praktisk betydning enn man skulle ønske.
For det tredje er EU-domstolens generelle tilnærming til EU-lovgivers handlingsrom meget interessant: Dommerne slår fast at personvernet er så viktig, og inngrepet som lagringen innebærer så alvorlig, at lovgivernes handlingsrom er begrenset og domstolskontrollen tilsvarende streng:
[I]n view of the important role played by the protection of personal data in the light of the fundamental right to respect for private life and the extent and seriousness of the interference with that right caused by Directive 2006/24, the EU legislature’s discretion is reduced, with the result that review of that discretion should be strict (avsnitt 48).
Dette vil gjelde tilsvarende både for et eventuelt nytt datalagringsdirektiv og for eventuelle nasjonale særlover om datalagring. Og både nasjonale domstoler og menneskerettsdomstolen i Strasbourg må forventes å følge samme tilnærming. Dommen gir med dette også et viktig bidrag i den generelle diskusjonen om maktfordelingen mellom lovgivere og domstoler i konstitusjonelle demokratier. Her vil nok oppfatningene være delte, både blant politikere, jurister, statsvitere og andre. Det er ikke til å komme forbi at de 15 dommerne i EU-domstolens storkammer gjennom denne dommen har satt sin vurdering av avveiningen mellom personvern og kriminalitetsbekjempelse over vurderingen til Europaparlamentet og medlemsstatenes representanter i Rådet, men i motsatt fall ville det ikke være noen realitet i EU-rettens beskyttelse av grunnleggende menneskerettigheter.
EU-dommen, EØS og Norge
Hvilken betydning har dommen så for Norge? Politisk er den direkte pinlig for datalagringsdirektivets forkjempere, men rettslig er betydningen mer indirekte. I motsetning til det mange synes å tro, er datalagringsdirektivet ikke innlemmet i EØS-avtalen. Takket være det islandske Alltingets prinsippfaste motstand mot direktivet er det derfor ikke noe behov for å ta direktivet ut av EØS-avtalen. Den norske lovgivningen som skulle gjennomføre direktivet ble som kjent vedtatt med knapp margin i Stortinget allerede i 2011, men den er ikke trådt i kraft og regjeringen har nå klokelig varslet at den heller ikke kommer til å gjøre det.
Eventuelle nye norske regler om datalagring må tåle inngående rettslig overprøving
EØS-avtalen er ikke til hinder for at norske myndigheter på eget initiativ vedtar nye regler om lagring av teledata, men indirekte vil EU-domstolens dom legge føringer for myndighetenes handlingsrom: Bestemmelsene i EUs pakt om grunnleggende rettigheter som EU-domstolen anvendte i dommen, gjenfinnes i Den europeiske menneskerettighetskonvensjonen som Norge er tilknyttet og som gjennom menneskerettsloven fra 1999 har lovs kraft i Norge.
EU-domstolens dom inneholder flere henvisninger til praksis fra Menneskerettighetsdomstolen, og det er liten grunn til å tro at domstolen i Strasbourg vil innrømme myndighetene noe større handlingsrom enn det EU-domstolen har lagt til grunn. Eventuelle nye norske regler om datalagring må derfor tåle inngående rettslig overprøving av om de er strengt nødvendige for å bekjempe grov kriminalitet og om de dertil tilbyr tilstrekkelige garantier mot misbruk osv. Det er derfor en tung argumentasjonsbyrde som EU-domstolen har lagt på myndighetene.
Også dersom EU skulle forsøke seg med et nytt, forutsetningsvis mindre omfattende og mer presist, direktiv om datalagring, kan EU-domstolens dom vise seg meget viktig for Norge: Et av kravene fra EU-domstolen er mer presise regler om hva de lagrede dataene kan brukes til. Dette forutsetter at et eventuelt nytt direktiv beveger seg lenger inn på strafferettens område. EUs kompetanse til å gjøre dette er kontroversiell internt i EU, men enda mer så i EØS-rettslig sammenheng: Strafferettslige regler faller i utgangspunktet utenfor EØS-avtalen. EØS-relevansen av et eventuelt nytt datalagringsdirektiv vil derfor være enda mer tvilsom enn EØS-relevansen av det direktivet som EU-domstolen nå har underkjent.
Prinsipiell etterpåklokskap
Avslutningsvis er det grunn til å reflektere over hvor langsomt fru Justitias kvern maler: Datalagringsdirektivet ble vedtatt i EU våren 2006. Det tok altså mer enn åtte år før EU-domstolen erklærte det ugyldig. Underveis har det vært flere saker for domstolen hvor den kunne tatt stilling til spørsmålet om den hadde villet, men hvor den dekket seg bak prosessuelle regler og lot gyldighetsspørsmålet henge i luften. Dette kan selvsagt kritiseres. Men kanskje gjorde EU-domstolen likevel klokt i å utsette spørsmålet til det virkelig kom på spissen?
Det kan neppe utelukkes at avstanden i tid fra terrorangrepene i New York i 2001, i Madrid i 2004 og i London i 2005 gjorde det lettere for EU-domstolen å slå ned på EU-lovgivers manglende respekt for personvernet. Fordelen med tregheten i den rettslige etterprøvingen er at det gir rom for prinsipiell etterpåklokskap. I tilfeller hvor betingelsene på vedtakstidspunktet kanskje ikke har vært de beste for prinsipielle diskusjoner, er det slett ikke så dumt.