Den tyske forbundsforfatningsdomstolen

Transkript

1 Den tyske forbundsforfatningsdomstolen i Karlsruhe besluttet den 2. mars 2010 at datalagringsdirektivet ikke kan implementeres i Tyskland, da domstolen mener at implementeringen strider mot den tyske grunnloven. Beslutningen var avsagt under dissens. Domstolen fant at den tyske grunnloven i prinsippet gir adgang til lagring av ulike typer trafikkdata, men at datalagring ikke kan innføres uten at det gjøres flere endringer i det nasjonale regelverket om implementeringen. Det er for tiden uavklart hva som vil skje videre i Tyskland med hensyn til datalagringsdirektivet. Kripos har oversatt til norsk pressemelding nr. 11/2010 av som ble sendt ut av forbundsforfatningsdomstolen i anledning saken. Den tyske forbundsforfatningsdomstolen Pressemelding nr. 11/2010 Dato: Dom avsagt BvR 256/08 1 BvR 263/08 1 BvR 586/08 Datalagring grunnlovsstridig i sin nåværende form Forfatningsklagene retter seg mot 113a, 113b i telekommunikasjonsloven, tkl. (Telekommunikationsgesetz), og 100g i straffeprosessloven, strpl. (Strafprozessordnung) så vidt den siste tillater innhenting av data i henhold til tkl. 113a. Bestemmelsene ble innført med lov om endring i reguleringen av overvåking av telekommunikasjon av 21. desember Tkl. 113a bestemmer at tilbydere av offentlige telekommunikasjonstjenester er forpliktet til å lagre praktisk talt samtlige trafikkdata knyttet til telefonitjenester (fastnett og mobiltelefontrafikk, faks, SMS, MMS), e-post- og internettjenester som en sikkerhetsforanstaltning uten tilstrekkelig foranledning. Lagringsplikten omfatter i det vesentlige alle opplysninger som er nødvendige for å kunne rekonstruere hvem som kommuniserte, eller forsøkte å kommunisere, når, hvor lenge, med hvem og fra hvilket sted. Derimot skal ikke innholdet i kommunikasjonen lagres, og dermed heller ikke hvilke nettsteder brukerne har besøkt. Etter seks måneder utløper denne forpliktelsen til å lagre dataene, som da skal slettes innen én måned. Tkl. 113b angir hvilke formål dataene kan brukes til. Bestemmelsen er en såkalt prinsippbestemmelse. Den gir ikke i seg selv anledning til å innhente data, men beskriver kun bredt hvilke formål dataene skal kunne brukes til, som så må konkretiseres gjennom særlige lover og forskrifter som vedtas på forbundsog delstatsnivå. Første ledd, første delsetning, lister opp mulige formål som dataene direkte skal kunne brukes til: forfølgning av straffbare handlinger, avverging av vesentlige farer for offentlig sikkerhet samt ivaretakelse av etterretningstjenestens oppgaver. Andre delsetning gir i tillegg tillatelse til indirekte bruk av dataene for innhenting av opplysninger gjennom en begjæring til tjenestetilbyderne om å oppgi Side 1 av 11

2 brukerne av IP-adresser i henhold til tkl Dette innebærer at myndighetene, dersom en IPadresse allerede er kjent, f.eks. som et resultat av en etterforskning eller en anmeldelse, kan kreve å få oppgitt hvem som var bruker av den aktuelle IP-adressen. Lovgiver tillater dette for forfølgning av straffbare handlinger og brudd på ordensbestemmelser, eller for å avverge fare, uten nærmere bestemmelser, og uten krav om rettslig kjennelse eller varslingsplikt. Strpl. 100g regulerer hvordan dataene som lagres av sikkerhetshensyn kan anvendes i straffesaker slik bestemmelsen i tkl. 113b, første ledd, første delsetning nr. 1 åpner for. Men sett under ett er bestemmelsen mye videre og regulerer all tilgang til trafikkdata fra telekommunikasjon overhodet. Bestemmelsen tillater også opprinnelig tillot den bare tilgang til forbindelsesdata som lagres av tjenestetilbyderne av andre grunner (f.eks. for å kunne gjennomføre forretningstransaksjoner). Lovgiver har besluttet ikke å skille mellom bruk av data som lagres av sikkerhetshensyn i henhold til tkl. 113a, og andre trafikkdata. Lovgiver tillater også at de lagrede dataene brukes uavhengig av en uttømmende liste over alvorlige straffbare forhold, og i tillegg etter en vurdering av forholdsmessigheten i det enkelte tilfelle tillater lovgiver at de kan brukes til straffeforfølgning av forbrytelser som begås ved hjelp av telekommunikasjon generelt. Det må innhentes forutgående rettslig kjennelse, og strpl. inneholder også bestemmelser om varslingsplikt og rettsvern. De innklagede bestemmelsene innlemmer direktiv 2006/24/EF vedtatt av Europaparlamentet og EU- Rådet om lagring av trafikkdata fra 2006 [datalagingsdirektivet] i tysk lov. Ifølge direktivet skal tilbydere av telekommunikasjonstjenester forpliktes til å lagre data som beskrevet i telekommunikasjonsloven 113a i minimum seks måneder og maksimum to år, og å holde dem i beredskap for etterforskning av alvorlige forbrytelser. Direktivet inneholder ingen nærmere detaljerte bestemmelser om bruken av dataene. Tiltak for å beskytte disse dataene overlates også i stor grad til medlemslandene. Ved midlertidige kjennelser avsagt av forfatningsdomstolens første kammer (pressemeldinger nr. 37/2008 av og 92/2008 av ), ble det gitt tillatelse til at teletilbyderne kunne utlevere data lagret i henhold til tkl. 113a til forespørrende myndighet til etterforskning av alvorlige forbrytelser i samsvar med tkl. 113a 1. ledd nr. 1, med de begrensningene som er beskrevet i kjennelsen. Med hensyn til avverging av fare (tkl. 113a 1. ledd nr. 2), ble det gitt tillatelse til at teletilbyderne bare kunne utlevere data lagret i henhold til tkl. 113a til forespørrende myndighet med svært restriktive begrensninger. Klagerne er av den oppfatning at lagring av trafikkdata fremfor alt krenker konfidensialiteten i telekommunikasjon samt den enkeltes rett til å ha kontroll med data om en selv. Etter deres mening utgjør lagring av trafikkdata uten tilstrekkelig foranledning et uforholdsmessig inngrep. De hevder særlig at lagrede data kan brukes til å lage personlighetsprofiler og til å spore folks bevegelser. En av klagerne, som tilbyr en internettanonymiseringstjeneste, hevder at kostnadene forbundet med lagringen skader tjenestetilbydernes yrkesfrihet på en uforholdsmessig måte. Forfatningsdomstolens første kammer har tidligere funnet at bestemmelsene i tkl. og strpl. om datalagring strider mot artikkel 10.1 i den tyske grunnloven [Grundgesetz]. Riktignok er ikke forpliktelsen til å lagre data slik bestemmelsen krever, grunnlovsstridig i seg selv. Lagringsplikten slik den er formulert, er imidlertid i strid med forholdsmessighetsprinsippet. De innklagede bestemmelsene garanterer verken tilstrekkelig datasikkerhet eller passende begrensninger i anvendelsen av dataene. Heller ikke tilfredsstiller de grunnlovens krav til åpenhet og rettssikkerhet. Bestemmelsene kjennes derfor som helhet grunnlovsstridige og ugyldige. Side 2 av 11

3 Avgjørelsen er hovedsakelig basert på følgende vurderinger: Klageadgang: Forfatningsklagene tillates så vidt de innklagede bestemmelsene ble innført for å innlemme direktiv 2006/24/EF i tysk lov. Klagerne ønsker at forfatningsdomstolen skal oversende saken til EU-domstolen for at denne skal kunne avsi en midlertidig kjennelse i henhold til artikkel 267 i Traktaten om den Europeiske unions virkemåte (tidligere artikkel 234 i Traktaten om det europeiske økonomiske fellesskap) som kjenner direktivet ugyldig og dermed åpner for en høring av de innklagede bestemmelsene opp mot kravene til grunnleggende rettigheter for tyske borgere, da klagerne ikke har hatt adgang til dette i det ordinære domstolsapparatet fordi klagerne har innklaget de innlemmende bestemmelsene direkte. På denne måten utelukkes i hvert fall ikke en høring av de innklagede bestemmelsene opp mot de grunnleggende rettighetene i grunnloven som klagerne ønsker allerede i utgangspunktet. Om grunnlaget for klagen: 1. Ingen prosedyre for midlertidig kjennelse fra EU-domstolen: Overføring til EU-domstolen er utelukket, da eventuell forrang for fellesskapsrett ikke er relevant. Gyldigheten til direktiv 2006/24/EF og forrang for fellesskapsrett foran grunnleggende rettigheter som eventuelt måtte oppstå av dette, er ikke relevant for den aktuelle beslutning. Direktivet gir tyske myndigheter stort handlingsrom. Direktivets bestemmelser begrenser seg til forpliktelsen til å lagre og omfanget av denne, og regulerer ikke adgangen til eller bruken av dataene i medlemslandene. Med et slikt innhold kan direktivet innlemmes i tysk lov uten å komme i konflikt med grunnleggende rettigheter i den tyske grunnloven. Grunnloven forbyr ikke slik lagring under alle omstendigheter. 2. Beskyttelse i henhold til grunnlovens artikkel 10.1: De innklagede bestemmelsene griper også så vidt det dreier seg om lagring av forbindelsesdata fra internettrafikk og fullmakt til innhenting av opplysninger i henhold til tkl. 113b 1. ledd delsetning 2 inn i området som beskyttes av grunnlovens artikkel 10.1 om konfidensialitet i telekommunikasjon. Det forhold at lagringen utføres av private aktører, står ikke i motsetning til dette, da disse aktørene kun opptrer som medhjelpere for myndighetene i utførelsen av sine oppgaver. 3. Adgang til å lagre trafikkdata uten tilstrekkelig foranledning: Lagring av trafikkdata fra telekommunikasjon uten tilstrekkelig foranledning i seks måneder for begrenset bruk til straffeforfølgning, avverging av fare og ivaretakelse av etterretningstjenestens oppgaver i henhold til tkl. 113a og 113b, er ikke i seg selv i strid med grunnlovens artikkel Dersom lovgivingen utformes på en måte som tar tilfredsstillende hensyn til de inngrep dette utgjør, omfattes ikke lagring av trafikkdata automatisk av det strenge forbud mot lagring av data som ligger i den presedens som er skapt av forfatningsdomstolens tidligere avgjørelser. Dersom slik lagring integreres i lovverket på en måte som er tilpasset inngrepet, kan dette tilfredsstille kravet til forholdsmessighet. Riktignok utgjør slik lagring et alvorlig inngrep med et omfang som er større enn det som har vært tilfelle i lovgivingen frem til nå. Selv om lagringen ikke omfatter innholdet i kommunikasjonen, kan disse dataene brukes til å trekke slutninger om innholdet, som går inn i brukerens privatsfære. Sett i Side 3 av 11

4 sammenheng og over tid kan opplysninger om mottakere, datoer, tid og sted for telefonsamtaler brukes til å danne seg et detaljert bilde av sosiale eller politiske tilknytninger og personlige preferanser, tilbøyeligheter og svakheter. Avhengig av bruken kan lagring av trafikkdata gjøre det mulig å utarbeide meningsfylte personlighetsprofiler av nær sagt alle innbyggere og å spore deres bevegelser. Det gir også en økt risiko for at en innbygger kan bli utsatt for videre etterforskning uten at vedkommende selv har gitt grunnlag for det. Mulighetene for misbruk som er forbundet med slik datalagring, forverrer også den belastende virkningen av denne lagringen. Og fordi lagring og bruk ikke merkes av brukeren, kan lagring av trafikkdata uten tilstrekkelig foranledning skape en diffus truende følelse av å være overvåket, noe som kan begrense utøvelsen av grunnleggende rettigheter på mange områder. Ikke desto mindre kan slik lagring under gitte forutsetninger skje i overensstemmelse med grunnlovens artikkel Retningsgivende er for det første at lagringen ikke utføres av staten selv, men pålegges private aktører. På denne måten kombineres ikke dataene allerede på lagringsstedet, men blir liggende fordelt på flere aktører og vil ikke være direkte tilgjengelige for staten i sammenstilt form. Lagringstiden på seks måneder fremstår heller ikke som et tiltak rettet mot registrering av alle innbyggernes totale kommunikasjon eller aktiviteter for øvrig. Derimot retter det seg mot, i et begrenset omfang, den spesielle stilling som telekommunikasjon har i det moderne samfunn og mot å møte de spesifikke potensielle farer knyttet til dette. Rekonstruksjon av telekommunikasjonsforbindelser er av særskilt viktighet for effektiv straffeforfølging og avverging av fare. For at lagring av trafikkdata av sikkerhetshensyn uten tilstrekkelig foranledning ikke skal hindres av grunnloven, må slik lagring forbli et unntak fra regelen. At innbyggerne skal kunne utøve sin frihet uten frykt for at alt de sier og gjør blir registrert og lagret, hører til Tysklands grunnlovmessige identitet, og Tyskland må bestrebe seg på å forsvare denne retten i europeisk og internasjonal sammenheng. Gjennom lagring av trafikkdata av sikkerhetshensyn blir også spillerommet for andre former for datalagring uten tilstrekkelig foranledning vesentlig redusert, også gjennom EU. 4. Forholdsmessighet i utforming av lovbestemmelsene: I lys av den særlige vekt som tillegges lagring av trafikkdata, kan slik lagring bare skje i samsvar med grunnlovens artikkel 10.1 dersom utformingen av lovbestemmelsene tilfredsstiller visse forfatningsrettslige krav. Det må i denne sammenheng være gitt tilstrekkelig stenge bestemmelser om datasikkerhet, med klart definerte bestemmelser om begrensninger i bruken av dataene samt åpenhet og rettsvern. Krav til datasikkerhet: Tatt i betraktning omganget av og den potensielle bevisverdien av de lagrede dataene, er datasikkerhet av stor betydning for forholdsmessigheten til de innklagede bestemmelsene. Det er behov for bestemmelser som stiller særdeles høye krav til sikkerheten, og som er klart definerte og rettslig bindende. Lovgiver står fritt til å delegere den konkrete utformingen av de tekniske kravene til et tilsynsorgan. Imidlertid må lovgiver sørge for at den endelige beslutningsmyndigheten knyttet til sikkerhetstiltakenes omfang og nivå ikke blir liggende hos tjenestetilbyderne uten kontroll. Krav til den direkte bruken av dataene: Tatt i betraktning viktigheten av datalagring kan dataene bare benyttes for å sikre svært viktige rettsgoder. Side 4 av 11

5 For forfølgning av straffbare handlinger følger det av dette at dersom data skal innhentes, må det minst foreligge en begrunnet mistanke om et straffbart forhold, baserte på konkrete fakta, som også som et enkelttilfelle kan regnes som grovt. I tillegg til forpliktelsen til å lagre data, må lovgiver utarbeide en uttømmende liste over de straffbare forhold som skal omfattes av bestemmelsen. For avverging av farer følger det av forholdsmessighetsprinsippet at det bare kan gis tillatelse til innhenting av trafikkdata lagret av sikkerhetshensyn dersom det foreligger en tilstrekkelig begrunnet fare, baserte på konkrete fakta, for en persons liv, helse eller frihet, en trussel mot forbundsstatens eller en av delstatenes eksistens eller sikkerhet, eller for å avverge fare mot offentlig sikkerhet. Disse kravene gjelder tilsvarende for etterretningstjenestenes anvendelse av disse dataene, da deres virke også er en form for avverging av fare. Det betyr riktignok at etterretningstjenestene i mange tilfelle trolig vil være avskåret fra å benytte dataene. Det ligger imidlertid i oppgavenes natur at etterretning innhentes i forkant, og dette gir ikke noen grunnlovsmessig akseptabel anledning til å lette på kravene til forholdsmessighet for et slikt inngrep. Det følger av forholdsmessighetsprinsippet at grunnloven også krever at det må eksistere et grunnleggende forbud mot å utlevere data, i det minste for en liten kategori telekommunikasjonsforbindelser knyttet til virksomheter basert på stor grad av fortrolighet. Dette kan omfatte forbindelser til personer, myndigheter og ideelle eller religiøse organisasjoner som gir råd og veiledning i situasjoner preget av emosjonelle eller sosiale behov fra personer som vanligvis forblir anonyme, og der disse organisasjonene og deres ansatte for dette formål er bundet av taushetsplikt. Krav til åpenhet i innhenting av data: Lovgiver må vedta effektive bestemmelser om åpenhet for å motvirke at oppstår en følelse av en diffus trussel blant innbyggerne som følge av lagring og bruk av data som de ikke er i stand til å merke selv. Dette inkluderer prinsippet om åpenhet i innsamling og bruk av personlige data. Uten at den det gjelder er kjent med det, kan dataene bare benyttes i samsvar med grunnloven dersom formålet med etterforskningen som datainnhentingen understøtter, ellers ville blitt forhindret. Lovgiver kan i prinsippet anta at dette også gjelder ved avverging av fare og ivaretakelse av etterretningstjenestens oppgaver. I straffesaker kommer imidlertid også åpen innhenting og bruk av dataene i betraktning. Det kan bare tillates hemmelig bruk av dataene dersom slik bruk er nødvendig, og det er innhentet tillatelse fra en dommer i hvert enkelt tilfelle. Så vidt det tillates hemmelig bruk av data, må lovgiver vedta bestemmelser om varslingsplikt. Disse bestemmelsene må sikre at de personene det gjelder, i hovedregel skal varsles, i det minste i etterkant. Unntak fra denne regelen krever tillatelse fra en dommer. Krav til rettsvern og straff: Utlevering og bruk av lagrede data skal som hovedregel være underlagt tillatelse fra en dommer. Dersom en person ikke har hatt anledning til å forsvare seg mot bruk av dataene før tiltaket ble gjennomført, skal han ha adgang til rettslig kontroll i etterkant. En forholdsmessig utforming av lovverket forutsetter også effektive sanksjonsmuligheter ved rettighetsbrudd. Dersom til og med grove brudd på taushetsplikten knyttet til telekommunikasjon fikk forbli ustraffet, med det resultat at personvernet forvitrer som følge av dens immaterielle natur, ville det stride mot statens plikt til å sørge for den enkeltes rett til å utfolde seg og til beskyttelse mot krenkelse av personvernet fra tredjepart. Her har imidlertid lovgiver et stort handlingsrom ved utforming av Side 5 av 11

6 lovverket. I denne sammenheng kan lovgiver også ta med i betraktning at det i lovverket, ved grove krenkelser av personvernet, allerede er nedlagt forbud mot bruk av ulovlig innsamlede data basert på en avveining av interesser, samt ansvar også for immaterielle skader, og at lovgiver derfor kan vurdere om dette lovverket tar tilstrekkelig hensyn til de særlig alvorlige brudd på personvernet som oppstår som følge av urettmessig innhenting og bruk av de aktuelle dataene. Krav ved indirekte bruk av dataene for å identifisere IP-adresser: Forfatningsretten stiller mindre strenge krav ved indirekte bruk av data lagret av sikkerhetshensyn, som består i myndighetenes rett til å få oppgitt fra tjenestetilbyderne informasjon om brukere av allerede kjente IP-adresser. Av betydning for dette er for det første at myndighetene ikke får kjennskap til innholdet i de lagrede dataene som er blitt lagret av sikkerhetshensyn. Ved slike forespørsler innhenter ikke myndighetene selve dataene, men får bare utlevert opplysninger om brukeren av en gitt forbindelse, som tjenestetilbyderen har funnet frem til ved søk i de lagrede dataene. Det er ikke mulig å gjennomføre systematisk sporing over lang tid, utarbeide personlighetsprofiler eller spore folks bevegelser basert på denne informasjonen alene. For det andre er det også utslagsgivende at det kun er et lite, på forhånd definert utsnitt av dataene som brukes. Lagringen av dette spesielle datasettet utgjør i seg selv ikke noe alvorlig inngrep, og kan derfor kreves utlevert basert på langt lettere forutsetninger. Imidlertid er også begrunnelsen i myndighetenes begjæringer om identifisering av brukere av IPadresser. På denne måten påvirker lovgiver betingelsene for kommunikasjon og begrenser anonymiteten på Internett. På bakgrunn av dette, og sammen med systematisk lagring av trafikkdata fra tidligere kjente IP-adresser, vil det bli mulig å fastslå identiteten til internettbrukere i stort omfang. Ved utformingen av relevante bestemmelser ligger det innenfor lovgivers handlingsrom å tillate at slik informasjon kan innhentes også utenfor rammen av spesifikke forbrytelser eller en uttømmende liste med straffbare handlinger, for avverging av fare og for ivaretakelse etterretningstjenestens oppgaver, basert på særskilte inngrepsfullmakter som tilstås gjennom lov. Riktignok må lovgiver, med hensyn til graden av inngrep, forsikre seg om at informasjon ikke kan innhentes på tilfeldig grunnlag, men bare på bakgrunn av en tilstrekkelig begrunnet mistanke eller en konkret fare basert på de fakta som foreligger i hvert enkelt tilfelle. Det er ikke nødvendig å kreve at det innhentes rettens tillatelse før innhenting av disse opplysningene. Imidlertid må de berørte personer informeres når slik informasjon innhentes. Det skal heller ikke være generell anledning uten begrensninger til å fremlegge slik informasjon som bevis i straffesaker eller for å forhindre ordensforstyrrelser. For at anonymiteten på Internett skal kunne oppheves må det i det minste kreves at det foreligger en krenkelse av et rettsgode, og lovverket må også ellers tillegge krenkelsen en betydelig vekt. Dette utelukker ikke fullstendig at slik informasjon innhentes som bevis i straffesaker eller for å forhindre ordensforstyrrelser, men det må dreie seg om alvorlige ordensforstyrrelser, også som enkelttilfelle, og de må spesifiseres uttrykkelig av lovgiver. Ansvar for utformingen av lovbestemmelsene: Kravet om datasikkerhetsgarantier og begrensninger i bruk av lagrede data gjennom klart definerte bestemmelser som tilfredsstiller kravene til forholdsmessighet, er hjemlet i forfatningen og er et uatskillelig element og en plikt som påhviler forbundslovgiver i utformingen av en plikt til å lagre data, jf. artikkel 73.1 i grunnloven. Dette omfatter ikke bare sikkerheten til de lagrede dataene, men også sikkerheten ved innhentingen av disse dataene og garantier for at fortrolige data blir beskyttet. I tillegg må forbundslovgiver forsikre seg om at det finnes tilstrekkelig presise bestemmelser som begrenser de formål som de lagrede dataene kan anvendes til, som også tilfredsstiller grunnlovens krav. Derimot Side 6 av 11

7 tilligger ansvaret for utforming av bestemmelsene om innhenting og for å utarbeide bestemmelser om åpenhet og rettsvern dem som har det faglige ansvaret. Med hensyn til avverging av farer og ivaretakelse av etterretningstjenestens oppgaver, er dette i hovedsak delstatenes ansvar. 5. Om de enkelte bestemmelsene (anvendelse av kravene) De innklagede bestemmelsene tilfredsstiller ikke disse kravene. Tkl. 113a er ikke grunnlovsstridig bare fordi omfanget av lagringsplikten er uforholdsmessig i utgangspunktet. Derimot tilfredsstiller ikke bestemmelsene om datasikkerhet, anvendelsesformål, åpenhet og rettsvern kravene i grunnloven. Bestemmelsene er ikke som helhet utformet på en måte som tilfredsstiller kravet om forholdsmessighet. Tkl. 113a, 113b og strpl. 100g så vidt den sistnevnte tillater innhenting av data lagret i samsvar med tkl. 113a er derfor uforenlige med grunnlovens artikkel Datasikkerhet: Selv kravet om en særskilt høy grad av datasikkerhet mangler. Loven henviser i hovedsak bare til de generelle kravene til aktsomhet innen telekommunikasjon (tkl. 113a.10), og på den måten relativiserer sikkerhetskravene på en udefinert måte til generelle økonomiske vurderinger i det enkelte tilfelle (tkl ledd). Den konkrete utformingen av sikkerhetstiltakene overlates til den enkelte tjenestetilbyder, som på sin side er utsatt for konkurranse og kostnadspress. Den lagringspliktige er ikke pålagt, på en måte som kan håndheves, å ta i bruk de sikkerhetstiltakene som de sakkyndige ekspertene har foreslått under forhandlingene (delt lagring, asymmetrisk kryptering, fire-øyne-prinsipp sammen med avanserte metoder for autentisering av tilgang til kodenøkler, samt revideringssikre journaler for adgang og sletting). Et tilsvarende sikkerhetsnivå er heller ikke garantert på andre måter. Der er heller ikke noe balansert system av sanksjoner som tillegger brudd på datasikkerhetskravene minst like stor vekt som brudd på selve lagringsplikten. Direkte bruk av dataene til straffeforfølgning: Bestemmelsene vedrørende bruken av dataene til straffeforfølgning er også uforenlige med kravene som er avledet av prinsippet om forholdsmessighet. Strpl. 100g.1 1. ledd nr. 1 sikrer ikke at bare alvorlige straffbare handlinger kan gi grunnlag for innhenting av relevante data, verken i det generelle eller i det enkelte tilfelle, men generelt bare aksepterer uavhengig av en uttømmende liste straffbare handlinger av vesentlig betydning. Strpl. 100g.1 1. ledd nr. 2, 2. ledd, tilfredsstiller disse kravene i enda mindre grad, da bestemmelsen aksepterer enhver straffbar handling begått ved hjelp av telekommunikasjon, uavhengig av alvorlighetsgrad, som et tilstrekkelig grunnlag for innhenting av data, ut fra en generell vurdering av tiltakets forholdsmessighet. Slik bestemmelsen er utformet, tillater den bruk av alle data lagret i henhold til tkl. 113a for straffeforfølging av nær sagt alle straffbare handlinger. Som et resultat av dette, i lys av den stadig viktigere rolle telekommunikasjon spiller i våre daglige liv, blir ikke bruken av disse dataene lenger noe unntaksvis tiltak. Lovgiver innskrenker dermed ikke bruken av dataene til forfølgning av alvorlige straffbare handlinger, men går utover dette, og går dermed også utover EU-rettens målsetting for datalagringen. Strpl. 100g er også uforenlig med grunnlovens krav ved at den ikke innskrenker innhenting av data til enkelttilfelle etter godkjenning av en dommer, men som en generell regel tillater dette uten at den som rammes av tiltaket, får kjennskap til det (strpl. 100g.1 1. ledd). Side 7 av 11

8 Derimot garanteres i hovedsak domstolenes kontroll med innhenting og bruk av data samt varslingskravet på en måte som tilfredsstiller grunnlovens krav. I henhold til strpl. 100g.2 1. ledd og 100b.1 1. ledd krever innhenting av data lagret i henhold til tkl. 113a, en kjennelse fra en dommer. I tillegg er det, i henhold til strpl. 101, tilpassede krav om varsling og anledning til å kreve en rettslig vurdering av tiltakets lovlighet. Det er ikke åpenbart at disse bestemmelsene til sammen ikke garanterer et effektivt rettsvern. Imidlertid er mangelen på rettslig kontroll med unnlatelse av varsling i henhold til strpl i strid med grunnloven. Direkte bruk av dataene for avverging av farer og ivaretakelse av etterretningstjenestens oppgaver: Utformingen av tkl. 113b 1. ledd nr. 2 og 3 tilfredsstiller ikke kravet om forholdsmessighet i begrensning av bruken av dataene. Bestemmelsene inneholder bare en generell beskrivelse av de oppgaveområdene som innhenting av data skal være mulig for, etter bestemmelser som skal utformes på et senere tidspunkt, spesielt av delstatene. På denne måten tilfredsstiller ikke bestemmelsen grunnlovens krav om begrensninger i dataenes bruksformål. Tvert imot åpner lovgiver, ved å pålegge tjenestetilbyderne å lagre trafikkdata av sikkerhetshensyn og utlevere disse til politiet og etterretningstjenestene for at de skal kunne bruke dem i utførelsen av nær sagt alle sine oppgaver, for at det etableres en database som er åpen for mange og ulike bruksformål bare med generelle begrensninger som kan benyttes i hvert enkelt tilfelle basert på beslutningene til forbunds- og delstatsparlamentene. Det å stille til rådighet slike datamengder med et åpent formål fjerner den nødvendige bindingen mellom lagringen og lagringens formål, noe som er uforenlig med grunnloven. Formuleringen av bruken av data lagret i henhold til tkl. 113a er også uforholdsmessig ved at den ikke gir beskyttelse for fortrolige relasjoner. I det minste en nærmere definert kategori av telekommunikasjonsforbindelser som er avhengige av særskilt taushetsplikt, har i henhold til grunnloven krav på beskyttelse. Indirekte bruk av dataene: Heller ikke tkl. 113b 1. ledd 2. delsetning tilfredsstiller grunnlovens krav i alle henseender. Riktignok er det ingen betenkeligheter ved at bestemmelsen tillater opplysninger uavhengig av en uttømmende liste med straffbare handlinger eller rettsgoder. Det som imidlertid ikke er forenlig med grunnloven, er at informasjonen også gjøres tilgjengelig for forfølging av ordensforstyrrelser, uten nærmere begrensninger. I tillegg gis det ingen krav til varsling etter innhenting av slik informasjon. 6. Forenlighet med grunnlovens artikkel 12 Til sammenligning er de innklagede bestemmelsene ikke i strid med grunnlovens artikkel 12.1, så vidt det må fattes en beslutning i denne rettsaken i så henseende. Det å pålegge en lagringsplikt utgjør i seg selv ikke en for stor byrde for tjenestetilbyderne. Mer spesifikt utgjør ikke lagringsplikten i henhold til tkl. 113a og de forpliktelsene som følger av dette, f.eks. kravene til datasikkerhet, noen uforholdsmessig økonomisk byrde for tjenestetilbyderne. Lovgivers i denne sammenheng vide handlingsrom er ikke begrenset til å bruke privatpersoners tjenester bare dersom deres yrkesutøvelse kan resultere i direkte fare eller de settes i et direkte ansvarsforhold som følge av disse farene. Det er tilstrekkelig at det er en nær sammenheng mellom innholdet i en persons yrke og de pålagte forpliktelsene. Det finnes derfor ingen grunnleggende innsigelser mot de kostnadene som pålegges tjenestetilbyderne. På denne måten skyves kostnadene forbundet med lagring over på markedet, på samme måte som privatiseringen av telekomsektoren. På samme måte som telekomforetakene kan utnytte de nye mulighetene som Side 8 av 11

9 teknologien gir til å skape fortjeneste, må de også påta seg kostnadene forbundet med å verge seg mot de nye sikkerhetsrisikoene som telekommunikasjon gir opphav til og inkludere disse i sine priser. 7. De innklagede bestemmelsenes gyldighet Bruddene på den grunnleggende retten til fortrolighet i telekommunikasjon, jf. grunnlovens artikkel 10.1, ugyldiggjør tkl. 113a og 113b samt strpl. 100g.1 1. ledd, så vidt denne bestemmelsen tillater lagring av trafikkdata i henhold til tkl. 113a. De innklagede bestemmelsene kjennes dermed ugyldige, da det er etablert at de bryter med den grunnleggende retten til fortrolighet i telekommunikasjon (jf ledd og ledd i lov om forbundsforfatningsdomstolen [Bundesverfassungsgerichtsgesetz]). Beslutningen er enstemmig med hensyn til spørsmålet om hensyn til EU-retten, om formell grunnlovsmessighet og om lagring av trafikkdata av sikkerhetshensyn er i overensstemmelse med grunnloven. Vurderingen av tkl. 113a og 113b som grunnlovsstridig ble vedtatt med syv mot én stemme med hensyn til resultatet, og med seks mot to stemmer med hensyn til videre spørsmål om materiell rett, som dissensen under viser. Retten besluttet med fire stemmer mot fire at bestemmelsene skal kjennes ugyldige i henhold til ledd av lov om forbundsforfatningsdomstolen, og ikke bare som uforenlig med grunnloven. Som en følge av dette er ikke bestemmelsene lenger gyldige i begrenset omfang. I stedet er bestemmelsene opphevet. Dissens fra dommer Schluckebier: 1. Lagring av trafikkdata av tjenestetilbydere utgjør i seg selv ikke et så stort inngrep i den grunnleggende retten i grunnlovens artikkel 10.1 at dette kan karakteriseres som svært alvorlig og dermed likestilles med et grovt inngrep fra myndighetene i innholdet i telekommunikasjon. Trafikkdataene lagres, av tekniske grunner, på serverne til private tjenestetilbydere, og den enkelte bruker kan på bakgrunn av sitt kontraktsforhold med tilbyderen, forvente at dataene oppbevares sikkert og strengt fortrolig. Dersom best mulig datasikkerhet garanteres til enhver tid, vil det ikke finnes noe objektivt grunnlag for innbyggerne til å føle seg truet av lagringen. Lagringen omfatter ikke innholdet i kommunikasjonen. Når inngrepet skal vektes, må man derfor se den betydelige forskjellen fra særlig alvorlige inngrep, som f.eks. akustisk overvåking av bolig (romavlytting), overvåking av kommunikasjonsinnhold og det som er kjent som online søk av IT-systemer gjennom direkte tilgang utført av statsorganer. I slike tilfelle er det stor fare for at privatlivets kjerneområder, som nyter absolutt beskyttelse, rammes. Det er i første rekke ikke tjenestetilbydernes lagring av trafikkdata som utgjør et invaderende inngrep, men av utleveringen og bruken av trafikkdata av statlige organer i enkelttilfeller der lovgivingen tillater dette. Dette, sammen med dommerens kjennelse for innhenting av trafikkdata, er i sin tur gjenstand for strenge krav til forholdsmessighet. Side 9 av 11

10 2. De innklagede bestemmelsene er fundamentalt sett formålstjenlige, de er rimelige for de personene som rammes, og således forholdsmessige i snever forstand. Ved å vedta bestemmelser som pålegger tjenestetilbyderne å lagre trafikkdata i seks måneder, bestemmelser om bruksformål og straffeprosessbestemmelser vedrørende innhenting av dataene, har lovgiver holdt seg innenfor de rammer som følger av grunnloven. Statens plikt til å beskytte sine innbyggere omfatter også plikt til å gjennomføre passende tiltak for å hindre skade på rettsgoder eller å etterforske slik skade, og for å tilordne ansvar for ev. skade på rettsgoder. I den forstand er det å garantere beskyttelse av innbyggerne og deres grunnleggende rettigheter og samfunnets grunnlag, samt forebygging og etterforskning av alvorlige forbrytelser, alle forutsetninger for fredelig sameksistens og innbyggernes frie utøvelse av sine grunnleggende rettigheter. Effektiv etterforskning av forbrytelser og avverging av fare utgjør derfor i seg selv ikke noen trussel mot innbyggernes frihet. I spenningsforholdet mellom statens plikt til å beskytte rettsgoder og innbyggernes ønske om å beskytte sine grunnlovssikrede rettigheter, er lovgivers fremste oppgave å gå frem på en abstrakt måte og oppnå en balanse mellom de to motstridende interessene. I dette arbeidet står lovgiver fritt både i vurderingen og i utformingen av lover. Lovgivers målsetting i denne sammenheng har vært å ta hensyn til det ubestridelige behovet for en effektiv strafferettspleie i lys av de grunnleggende endringer som har funnet sted i folks kommunikasjonsmuligheter og -vaner de senere årene. Denne målsettingen kan ikke oppnås med mindre etterforskningen kan frembringe de relevante fakta. I denne sammenheng antok lovgiver at trafikkdata enten ikke lagres overhodet, på grunn av utbredelsen av fastprisabonnementer, eller blir slettet før det kan innhentes en rettslig kjennelse for å innhente dataene, eller til og med før den nødvendige informasjon for å innhente en slik kjennelse, er blitt innhentet. I sin vurdering av om lagring av trafikkdata er nødvendig og formålstjenlig, har rettens flertall tatt med i betraktning at nær sagt alle livets områder er blitt invadert av elektronisk eller digitalt kommunikasjonsutstyr, og på noen områder vanskeliggjør dette derfor forfølging av straffbare handlinger og avverging av farer, men i vurderingen av forholdsmessigheten i snever forstand legger ikke retten tilstrekkelig vekt på disse forholdene i sin vurdering av [lagringens] formålstjenlighet og rimelighet. På denne måten fratar rettens flertall lovgiver praktisk talt alt rom for vurdering og utforming, og hindrer dermed lovgiver i å vedta formålstjenlige og rimelige bestemmelser på området etterforskning av forbrytelser og avverging av farer for å beskytte befolkningen. På denne måten unnlater rettens flertall også å ta tilstrekkelig hensyn til kravet om måtehold som påhviler en demokratisk valgt lovgivende forsamling i sine beslutninger. Dommen finner at en lagringsperiode på seks måneder dvs. minstetiden iht. EF-direktivet ligger på den øvre grensen av det som grunnloven kan tillate, og dikterer som krav til lovgiver at bestemmelsen som skal regulere bruken av dataene, samtidig må inneholde bestemmelser om adgang til dataene, begrenser lovgiver til en spesifisert liste med straffbare handlinger, utelukker muligheten for å benytte trafikkdata til å oppklare forbrytelser som er vanskelige å etterforske, og som ble begått ved hjelp av telekommunikasjon, og utvider varslingsplikten på en spesifikk måte. Dommen etterlater dermed ikke lovgiver noe nevneverdig handlingsrom for utforming av bestemmelsene på eget politisk ansvar. Særlig nekter retten lovgiver retten til å innhente data lagret i henhold til tkl. 113a for å etterforske straffbare handlinger som ikke er nevnt i den nåværende listen i strpl. 100a.2, men som er av vesentlig betydning i den enkelte sak, og straffbare handlinger som begås vha. telekommunikasjon (strpl. 100g.1 1. ledd nr. 1 og 2). I sistnevnte tilfelle tillegges det ikke nok vekt til det faktum at slike saker er svært vanskelige å etterforske. Da det er lovgivers ansvar å garantere effektiv straffeforfølgning og påse at det Side 10 av 11

11 ikke oppstår vesentlige huller i beskyttelsen, kan lovgiver heller ikke hindres i å gi adgang til trafikkdata til oppklaring av forbrytelser som i utgangspunktet ikke er særlig alvorlige, men som allikevel skader vesentlige rettsgoder, dersom dette etter lovgivers vurdering er nødvendig for å hindre at det oppstår huller i lovgivningen og dermed en situasjon der etterforskningen av disse sakene blir svært ineffektiv. Da bestemmelsene om adgang til å innhente data til bruk i straffeprosessen ble utformet, så lovgiver dessuten hen til kriterier som retten godkjente i sin dom av (Forfatningsdomstolens beslutninger (Entscheidungen des Bundesverfassungsgerichts BVerfGE) 107, 299 (322)) om utlevering av forbindelsesdata for telekommunikasjon. 3. I sin kjennelse om de juridiske konsekvensene, på grunnlag av flertallets forfatningsrettslige vurdering og med bakgrunn i den presedens som ligger i forfatningsdomstolens tidligere avgjørelser, kunne retten like gjerne ha vedtatt en tidsfrist for lovgiver til å bringe sin lovgivning i overensstemmelse med grunnlovens krav, og latt de nåværende bestemmelsene gjelde midlertidig, i samsvar med kravene i rettens midlertidige kjennelser, for å unngå at det oppstår varige mangler, særlig i etterforskningen av straffbare handlinger, men også i avverging av fare. Dissens fra dommer Eichberger: Dissensen slutter seg i hovedsak til dommer Schluckebiers kritikk vedrørende vurderingen av alvorligheten av det inngrep som lagring av trafikkdata som brudd på grunnlovens artikkel 10.1 utgjør. Utformingen av bestemmelsene i tkl. 113a og 113b, som er basert på et skaladifferensiert lovgivningsansvar for lagring på den ene side og innhenting av dataene på den annen side, er grunnleggende sett i overensstemmelse med grunnloven. Dette gjelder særlig data som lagres for det formål å forfølge straffbare handlinger i henhold til tkl. 113a, og som reguleres av strpl. 100g. Lovgiver er ikke pålagt å vurdere forholdsmessigheten til bestemmelsene om innhenting kun ut fra det størst mulige inngrepet som det vil være å foreta en omfattende innhenting av data for å kartlegge en innbyggers sosiale profil eller bevegelsesmønster, men kan i stedet gå ut i fra at innhenting av data i mange tilfelle vil representere et langt mindre inngrep, og at rimeligheten må avgjøres av en kompetent dommer i hvert enkelt tilfelle. Side 11 av 11