ECLI:NL:PHR:2024:1158, Parket bij de Hoge Raad, 05-11-2024, 21/04869

AANVULLENDE CONCLUSIE

B.F. Keulen

In de zaak

[veroordeelde],

geboren in [geboorteplaats] op [geboortedatum] 1976,

hierna: de veroordeelde

13. Vastgesteld wordt dat omtrent de interpretatie van dat begrip ‘ernstig strafbaar feit’ onduidelijkheid bestaat. En dat het HvJ EU duidelijkheid zou kunnen verschaffen door te oordelen dat dit begrip geen autonoom (Europeesrechtelijk) begrip is. In de vordering is het standpunt betrokken dat deze keuze alleen al gelet op de grote verschillen tussen de strafrechtstelsels van de lidstaten het meest in de rede ligt. Maar ook een (deels) Europese invulling van het begrip is denkbaar; daarbij zou het concept van de positieve verplichtingen kunnen worden betrokken, waar het HvJ EU in het arrest La Quadrature du Net I zelf ook op ingaat. Aan Uw Raad is in overweging gegeven op dit punt een prejudiciële vraag te stellen.

14. De vordering tot cassatie in het belang der wet gaat ook in op de kring van personen tot wier gegevens toegang kan worden verleend (randnummers 87-95). Uit een aantal gegevens wordt afgeleid dat de rechtspraak van het HvJ EU niet in de weg staat aan het opvragen van verkeers- en locatiegegevens op basis van een zendmast, ook al levert een dergelijke aanvraag gegevens op van een groot aantal mobiele telefoons. Het stellen van een prejudiciële vraag is op dit punt niet aan Uw Raad in overweging gegeven.

15. De laatste formulering in het Prokuratuur-arrest waar in de vordering op wordt ingegaan betreft de omschrijving van de verkeers- en locatiegegevens waartoe slechts bij een ‘ernstig strafbaar feit’ toegang kan worden verleend (randnummer 96-112). Het gaat om toegang tot ‘een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer’. Deze formulering kan zo worden gelezen dat identificerende gegevens, net als in eerdere rechtspraak van het HvJ EU, worden uitgezonderd van de verkeers- en locatiegegevens waartoe slechts bij ernstige strafbare feiten toegang kan worden verschaft. De formulering kan volgens de vordering ook zo worden gelezen dat het HvJ EU algemene kenmerken heeft willen benoemen van verzamelingen gegevens waartoe slechts bij opsporing van ernstige strafbare feiten toegang kan worden verleend. Een derde lezing kent betekenis toe aan de gegevens die daadwerkelijk zijn verzocht en verkregen en brengt mee dat ook bij minder ernstige strafbare feiten toegang kan worden verleend tot verkeers- en locatiegegevens, zolang uit de gegevens waartoe daadwerkelijk toegang is verleend geen precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Aan Uw Raad is in overweging gegeven een prejudiciële vraag te stellen die strekt tot verheldering van de formulering. Voor die vraag is een voorzet geformuleerd in één van beide andere vorderingen. Tegelijk is aangegeven dat de eerste lezing (waarbij identificerende gegevens uitgezonderd worden) ‘de sterkste papieren’ heeft.

16. In het arrest dat in de onderhavige zaak is gewezen bespreekt Uw Raad eerst de vraag of de overwegingen van het HvJ EU voor zover het daarin gaat om toegang tot verkeers- en locatiegegevens ‘betrekking hebben op alleen gegevens die worden bewaard op grond van wettelijke maatregelen die door een lidstaat op grond van art. 15 lid 1 Richtlijn 2002/58/EG zijn getroffen, dan wel ook op gegevens die op een andere, bijvoorbeeld contractuele, grond worden bewaard’ (rov. 6.2.3). Uw Raad beantwoordt deze vraag op grond van drie argumenten aldus dat bedoelde overwegingen tevens betrekking hebben op het in het kader van een strafrechtelijk onderzoek verlenen van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens) ‘die op een andere grond worden bewaard dan wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG’ (rov. 6.2.4).

17. Het eerste argument is dat richtlijn 2002/58/EG beoogt de bescherming van fundamentele rechten en vrijheden bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen. Het tweede argument is ontleend aan artikel 5 van de richtlijn. Dat bepaalt dat niet alleen het afluisteren, aftappen of opslaan maar ook het ‘anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers’ alleen is geoorloofd als dat bij de wet is toegestaan overeenkomstig artikel 15 lid 1 van de richtlijn. Dat duidt er, aldus Uw Raad, op dat de wettelijke maatregelen waar dit artikellid op ziet, ‘ook op het verkrijgen van toegang tot die gegevens’ betrekking hebben. Het derde argument betreft de rechtspraak van het HvJ EU; de gebezigde bewoordingen duiden erop ‘dat de beantwoording van de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden toegestaan, niet afhankelijk is van “de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens”.’

18. Nu de rechtspraak van het HvJ EU geen expliciet antwoord bevat op de geformuleerde vraag en aan het Unierecht ook argumenten kunnen worden ontleend voor een ander antwoord (Uw Raad verwijst in dat verband naar de vordering) heeft Uw Raad op dit punt echter wel een prejudiciële vraag gesteld (rov. 6.2.5).

19. Deze eerste prejudiciële vraag luidt als volgt:

‘Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?’

20. Uw Raad gaat vervolgens in op ‘Voorwaarden met betrekking tot het verlenen van toegang aan overheidsinstanties’. Daarbij bespreekt Uw Raad eerst de mogelijkheid ‘spoedbewaring’ te bevelen, een onderwerp dat in de vordering tot cassatie in het belang der wet niet afzonderlijk is besproken (rov. 6.3.1-6.3.4). Vervolgens gaat Uw Raad in op de ‘afbakening van de gegevens waartoe toegang aan overheidsinstanties kan worden verleend, aan de hand van de kring van personen op wie die gegevens betrekking hebben’ (rov. 6.4.1 en 6.4.2). In de daaropvolgende overwegingen bespreekt Uw Raad de uitzondering die het HvJ EU maakt voor ‘identificerende gegevens’ (rov. 6.4.3 en 6.4.4). Uw Raad leidt uit de rechtspraak van het HvJ EU af dat richtlijn 2002/58/EG geen aanvullende voorwaarden met zich brengt waar het gaat om bevoegdheden die betrekking hebben op het vorderen van uitsluitend identificerende gegevens. Maar dat waar het gaat om wettelijke bevoegdheden die betrekking hebben op het vorderen van verkeers- en locatiegegevens anders dan uitsluitend identificerende gegevens, geldt dat ‘acht moet worden geslagen op de ernst van de inmenging in (met name) het recht op eerbiediging van het privéleven’ (rov. 6.4.5)

21. Uw Raad gaat daarna in op het antwoord dat het HvJ EU in het Prokuratuur-arrest gegeven heeft op de in die zaak gestelde eerste prejudiciële vraag. Uw Raad is van oordeel dat de overwegingen in de rechtspraak van het HvJ EU over het evenredigheidsbeginsel steun geven aan de lezing ‘dat de toegang tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) ook mag worden verleend bij minder ernstige strafbare feiten of minder ernstige criminaliteit, als het verlenen van toegang tot die gegevens slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker’ (rov. 6.5.1-6.5.3).

22. Vervolgens bespreekt Uw Raad de vraag hoe de begrippen ‘ernstig strafbaar feit’ en ‘ernstige criminaliteit’ (of ‘zware criminaliteit’) dienen te worden uitgelegd. Uw Raad stelt vast dat de in de rechtspraak van het HvJ EU genoemde begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ niet in richtlijn 2002/58/EG voorkomen en dat uit de richtlijn niet blijkt dat harmonisatie van deze begrippen wordt beoogd. Verder wijst Uw Raad erop dat het HvJ EU in eerder geciteerde rechtspraak overweegt dat het aan de verwijzende rechterlijke instanties is ‘om na te gaan of en in welke mate de nationale regelingen over onder meer de toegang van de bevoegde nationale autoriteiten tot bewaarde gegevens voldoen aan de eisen die voortvloeien uit artikel 15 lid 1 Richtlijn 2002/58/EG’. Uw Raad is dan ook van oordeel dat moet worden aangenomen dat de begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ in de rechtspraak van het HvJ EU geen autonome begrippen van Unierecht vormen (rov. 6.6.1-6.6.3).

23. Omdat de rechtspraak van het HvJ EU meerdere lezingen toelaat ‘met betrekking tot de vraag of het verlenen van toegang tot verkeers- en locatiegegevens onder omstandigheden ook is toegelaten in geval van niet-ernstige criminaliteit’ en in die rechtspraak ‘tot op heden’ niet is bevestigd dat het aan de bevoegde nationale instanties is om zelf mede invulling te geven aan de begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ bestaat naar het oordeel van Uw Raad aanleiding op beide punten prejudiciële vragen te stellen (rov. 6.7).

‘a) Vormen de in de onder 5.7 en 5.8 genoemde arresten van het Hof van Justitie gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht of is het aan de bevoegde instanties van de lidstaten om zelf mede invulling te geven aan deze begrippen?

b) Als het gaat om autonome begrippen van Unierecht, op welke wijze dient dan te worden vastgesteld of sprake is van een “ernstig strafbaar feit” of van “ernstige criminaliteit”?’

‘Kan het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG worden toegestaan als geen sprake is van ernstige strafbare feiten of ernstige criminaliteit, namelijk als in het concrete geval het verlenen van toegang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG?’

26. Uw Raad zet vervolgens uiteen welke voorwaarden in het Wetboek van Strafvordering worden gesteld met betrekking tot het vorderen van verkeers- en locatiegegevens en met betrekking tot een spoedbewaring (rov. 6.8.1-6.8.2). En Uw Raad overweegt dat ‘het weliswaar mogelijk is om op een abstract niveau een scheidslijn te trekken tussen strafbare feiten die ernstig zijn en strafbare feiten die niet ernstig zijn, maar dat de ernst van het concrete strafbare feit sterk kan variëren’. Bij de beoordeling of de toepassing van een bevoegdheid op grond waarvan verkeers- en locatiegegevens kunnen worden verkregen, in overeenstemming is met het recht op bescherming van het privéleven, gaat het volgens Uw Raad om ‘een inschatting en vervolgens een weging van een samenstel van factoren’ (rov. 6.8.3). Een juiste toepassing van de bevoegdheden in het Wetboek van Strafvordering waarborgt naar het oordeel van Uw Raad ‘dat het resultaat daarvan in overeenstemming is met Richtlijn 2002/58/EG en het evenredigheidsbeginsel’ (rov. 6.9).

27. Uw Raad concludeert voorts ‘dat het verlenen van toegang aan overheidsinstanties op grond van Richtlijn 2002/58/EG zich niet beperkt tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens die betrekking hebben op, kort gezegd, een persoon ten aanzien van wie een verdenking bestaat’ (rov. 6.10.4). En Uw Raad bepaalt dat als de officier van justitie ‘verkeers- en locatiegegevens wil verkrijgen die meer omvatten dan uitsluitend identificerende gegevens, hij gehouden is een schriftelijke machtiging van de rechter-commissaris te vorderen voor het vorderen van die gegevens (rov. 6.11.4). Uw Raad besteedt ook aandacht aan de beoordeling van vormverzuimen die verband houden met de toepassing van de bevoegdheden die ertoe strekken verkeers- en locatiegegevens te verkrijgen (rov. 6.12.1-6.12.5) en vat het besliskader kort samen (rov. 6.13.1-6.13.5).

31. Het HvJ EU overweegt onder meer dat ‘de bewaarperiode die is vastgesteld in een nationale maatregel waarbij een algemene en ongedifferentieerde bewaringsverplichting wordt opgelegd, een van de relevante factoren is om te bepalen of het Unierecht zich tegen die maatregel verzet’ (rov. 85). De ernst van de inmenging vloeit echter voort uit het risico dat de bewaarde gegevens ‘het in hun geheel beschouwd mogelijk maken om zeer precieze conclusies te trekken over het privéleven van de persoon of personen van wie de gegevens zijn bewaard’ (rov. 87). In het antwoord op de (door het HvJ EU geformuleerde vertaling van de) gestelde vraag wordt samengevat welke verplichtingen tot bewaring kunnen worden opgelegd (rov. 131). Voor de bestrijding van zware criminaliteit kan worden voorzien in ‘een gerichte bewaring van verkeers- en locatiegegevens die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of van een geografisch criterium, voor een periode die niet langer is dan strikt noodzakelijk maar die kan worden verlengd’. Met het oog op de bestrijding van zware criminaliteit kan ook worden voorzien in ‘een algemene en ongedifferentieerde bewaring van de IP-adressen die zijn toegewezen aan de bron van een verbinding, voor een periode die niet langer is dan strikt noodzakelijk’. Met het oog op de bestrijding van zware criminaliteit kan aan aanbieders van elektronische-communicatiediensten ook een bevel worden gegeven ‘tot spoedbewaring, gedurende een bepaalde periode, van de verkeers- en locatiegegevens waarover zij beschikken’. Tenslotte kan met het oog op de bestrijding van criminaliteit (niet enkel ‘zware’) worden voorzien ‘in een algemene en ongedifferentieerde bewaring van de gegevens die betrekking hebben op de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen’.

32. Op 20 september 2022 wees het HvJ EU ook het arrest VD. De prejudiciële vragen waren gesteld door het Franse Cour de cassation en betroffen strafzaken waarin de verdachten (onder meer) werden vervolgd wegens handel met voorwetenschap. De verwijzende rechter wenste volgens het HvJ EU ‘in wezen te vernemen of artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58 en tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moeten worden uitgelegd dat zij zich verzetten tegen wettelijke maatregelen als die in de hoofdgedingen, die ter bestrijding van marktmisbruik, waarvan handel met voorwetenschap deel uitmaakt, preventief voorzien in een algemene en ongedifferentieerde bewaring van verkeersgegevens gedurende een jaar te rekenen vanaf de datum van registratie’. Het HvJ EU overweegt onder meer het volgende:

’69 Wat de bewoordingen van de in de eerste vraag bedoelde bepalingen betreft, moet worden geconstateerd dat daar waar artikel 12, lid 2, onder d), van richtlijn 2003/6 spreekt van de bevoegdheid van de voor financiën bevoegde autoriteit om „bestaande overzichten van telefoon- en dataverkeer te vereisen”, artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014 het heeft over de bevoegdheid van die autoriteit om „overzichten van dataverkeer waarover beleggingsondernemingen, kredietinstellingen of financiële instellingen beschikken” te vorderen en „voor zover dat door de nationale wetgeving is toegestaan, […] bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt”.

70 Uit de tekst van deze bepalingen blijkt dus duidelijk dat deze enkel de bevoegdheid van die autoriteit regelen om de gegevens waarover die operatoren beschikken te „vereisen” en te „vorderen”, wat overeenkomt met toegang tot die gegevens. Voorts suggereert de verwijzing naar „bestaande” overzichten „waarover [die operatoren] beschikken”, dat de Uniewetgever niet de bedoeling heeft gehad om regels te geven voor de mogelijkheid voor de nationale wetgever om een bewaarplicht voor die overzichten in te voeren.

71 In dit verband zij eraan herinnerd dat volgens vaste rechtspraak een uitlegging van een bepaling van het Unierecht er niet toe kan leiden dat aan de duidelijke en precieze bewoordingen van deze bepaling elk nuttig effect wordt ontnomen. Wanneer de betekenis van een bepaling van Unierecht ondubbelzinnig uit de bewoordingen ervan blijkt, mag het Hof dus niet van deze uitlegging afwijken (…).

72 De in punt 70 van het onderhavige arrest gegeven uitlegging vindt steun zowel in de context van artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014 als in de doelstellingen van de regeling waarvan deze bepalingen deel uitmaken.

73 Wat de context van deze bepalingen betreft, moet worden opgemerkt dat de Uniewetgever (…) de lidstaten weliswaar heeft willen verplichten de nodige maatregelen te nemen om ervoor te zorgen dat de voor financiën bevoegde autoriteiten over een geheel van passende instrumenten, bevoegdheden en middelen beschikken alsook over de nodige toezichts- en onderzoeksbevoegdheden om de doeltreffendheid van hun taken te waarborgen, maar dat deze bepalingen niets zeggen over de eventuele mogelijkheid van de lidstaten om daartoe voor de operatoren van elektronischecommunicatiediensten een algemene en ongedifferentieerde bewaarplicht van verkeersgegevens in te voeren (…).

74 Met artikel 12, lid 2, van richtlijn 2003/6 en artikel 23, lid 2, van verordening nr. 596/2014 heeft de Uniewetgever de voor financiën bevoegde autoriteit gewoon klassieke onderzoeksbevoegdheden willen toekennen om de doeltreffendheid van haar onderzoeks- en toezichtstaken te garanderen (…).

75 Verder moet worden geconstateerd dat de bepalingen van verordening nr. 596/2014 die specifiek de kwestie van de bewaring van gegevens regelen (…) enkel in een dergelijke bewaarplicht voorzien voor de in artikel 23, lid 2, onder g), van die verordening genoemde financiële operatoren en derhalve alleen betrekking hebben op gegevens over financiële transacties en diensten van deze specifieke operatoren.

76 Wat de doelstellingen van de betrokken regeling betreft, moet worden opgemerkt dat (…) deze instrumenten tot doel hebben de integriteit van de financiële markten van de Unie te waarborgen en het vertrouwen van de beleggers in deze markten te vergroten (…).

77 Hoewel overzichten van verbindingsgegevens volgens overweging 65 van verordening nr. 596/2014 cruciaal en soms het enige bewijs vormen waarmee handel met voorwetenschap of marktmanipulatie aan het licht kan worden gebracht en bewezen, neemt dit niet weg dat deze overweging enkel spreekt van overzichten „waarover [operatoren van elektronischecommunicatiediensten] beschikken” en van de bevoegdheid van de voor financiën bevoegde autoriteit om „bestaande” gegevens bij die operatoren „op te vragen”. Uit deze overweging blijkt dus nergens dat de Uniewetgever met deze verordening de lidstaten de bevoegdheid heeft willen geven om operatoren van elektronischecommunicatiediensten een algemene bewaarplicht voor deze gegevens op te leggen.

78 Gelet op het bovenstaande moet worden geoordeeld dat noch richtlijn 2003/6 noch verordening nr. 596/2014 in die zin kan worden uitgelegd dat deze, met het oog op de uitoefening van de bevoegdheden die de voor financiën bevoegde autoriteit aan deze instrumenten ontleent, de rechtsgrond kan vormen voor een algemene bewaarplicht voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken.

79 In de tweede plaats zij eraan herinnerd dat richtlijn 2002/58 (…) de referentiehandeling vormt op het gebied van bewaring en meer algemeen verwerking van persoonsgegevens in de sector elektronische communicatie, zodat de door het Hof aan deze richtlijn gegeven uitlegging ook moet gelden voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken en die de voor financiën bevoegde autoriteiten (…) bij hen kunnen opvragen.

80 Volgens artikel 1, lid 1, van richtlijn 2002/58 voorziet deze richtlijn immers in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – te waarborgen bij de verwerking van persoonsgegevens in de sector elektronische communicatie, welke sector ook de telecommunicatiesector omvat.

81 (…).

82 Gelet op het voorgaande moet worden vastgesteld dat (…) de beoordeling van de rechtmatigheid van de verwerking van de overzichten waarover de operatoren van elektronischecommunicatiediensten beschikken (…), moet worden verricht aan de hand van de voorwaarden in richtlijn 2002/58 en van de uitlegging van deze richtlijn in de rechtspraak van het Hof.

83 Deze uitlegging wordt bevestigd door artikel 3, lid 1, punt 27, van verordening nr. 596/2014, aangezien daarin staat dat verkeersgegevensoverzichten in de zin van deze verordening, die zijn welke worden bedoeld in artikel 2, tweede alinea, onder b), van richtlijn 2002/58.

84 Bovendien moeten volgens overweging 44 van richtlijn 2003/6 en de overwegingen 66 en 77 van verordening nr. 596/2014 de doelstellingen van deze instrumenten worden nagestreefd met inachtneming van de in het Handvest neergelegde grondrechten en beginselen, met inbegrip van het recht op privacy. De Uniewetgever heeft in dit verband in overweging 66 van verordening nr. 596/2014 uitdrukkelijk aangegeven dat de lidstaten, met het oog op de uitoefening van de bevoegdheden die de voor financiën bevoegde autoriteit aan deze verordening ontleent, waarbij het tot ernstige inbreuken op het recht op privacy (…) en op het telecommunicatiegeheim zou kunnen komen, passende en doeltreffende vrijwaringsmaatregelen moeten treffen tegen elke vorm van misbruik, bijvoorbeeld waar gepast een verplichting om een voorafgaande goedkeuring door de justitiële autoriteiten van de lidstaat in kwestie te verkrijgen. (…) Hieruit volgt dat de toepassing van de maatregelen van richtlijn 2003/6 en verordening nr. 596/2014 in geen geval afbreuk kan doen aan de bescherming van persoonsgegevens die wordt geboden door richtlijn 2002/58 (…).

85 Bijgevolg moeten artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g), en h), van verordening nr. 596/2014 aldus worden uitgelegd dat zij niet toestaan dat verkeers- en locatiegegevens algemeen en ongedifferentieerd worden bewaard met het oog op de bestrijding van marktmisbruik en meer bepaald handel met voorwetenschap, en dat de verenigbaarheid met het Unierecht van een nationale regeling die in een dergelijke bewaring voorziet, moet worden beoordeeld aan de hand van artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zoals uitgelegd in de rechtspraak van het Hof.

(…)

89 Hieruit volgt dat de in de hoofdgedingen aan de orde zijnde regeling alle telefonischecommunicatiemiddelen en alle gebruikers daarvan bestrijkt, zonder enig onderscheid of enige uitzondering. De gegevens die de operatoren van elektronischecommunicatiediensten volgens deze regeling moeten bewaren, zijn in het bijzonder de gegevens die noodzakelijk zijn om de oorsprong en de bestemming van een communicatie terug te vinden, om de datum, het uur, de duur en het type van de communicatie te bepalen, om de gebruikte communicatieapparatuur te identificeren en om de communicatie-eindapparatuur te lokaliseren. Het gaat dan onder meer om de naam en het adres van de gebruiker en het telefoonnummer van de beller en de gebelde persoon.

90 (…) Bijgevolg moet worden aangenomen dat uit deze gegevens, in hun geheel beschouwd, zeer precieze conclusies kunnen worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren. In het bijzonder kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die vanuit het oogpunt van het recht op bescherming van het privéleven even gevoelig is als de inhoud zelf van de communicatie (…).

91 Wat de beoogde doelstellingen betreft, zij erop gewezen dat de betrokken regeling onder meer gericht is op het onderzoeken, vaststellen en vervolgen van strafbare feiten, waaronder marktmisbruik, waarvan handel met voorwetenschap deel uitmaakt.

92 Gelet op de in de punten 86 tot en met 91 van het onderhavige arrest uiteengezette elementen moet worden geconstateerd dat de nationale wetgever met de betrokken regeling heeft voorzien in een algemene en ongedifferentieerde bewaring van verkeersgegevens gedurende een jaar vanaf de datum van registratie, met name met het oog op het onderzoeken, vaststellen en vervolgen van strafbare feiten en het bestrijden van criminaliteit.

93 Uit (…) het arrest van 6 oktober 2020, La Quadrature du Net e.a. (…), en (…) het arrest van 5 april 2022, Commissioner of An Garda Síochána e.a. (…), volgt evenwel dat een dergelijke bewaring volgens artikel 15, lid 1, van richtlijn 2002/58 niet kan worden gerechtvaardigd door dergelijke doelstellingen.’

33. De door het HvJ EU geformuleerde (vertaling van de gestelde) vraag wordt bevestigend beantwoord.

34. Op 7 september 2023 wees het HvJ EU het arrest Lietuvos Respublikos genrealiné prokuratüra. De prejudiciële vraag is gesteld door de hoogste Litouwse bestuursrechter en betrof een zaak waarin de betrokkene zijn ontslag uit het ambt van openbaar aanklager aanvocht. De verwijzende rechter wenste volgens het HvJ EU in wezen te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het eraan in de weg staat dat persoonsgegevens met betrekking tot elektronische communicatie die krachtens een op grond van deze bepaling genomen wettelijke maatregel zijn bewaard door aanbieders van elektronische-communicatiediensten en die vervolgens op grond van die maatregel aan de bevoegde autoriteiten ter beschikking zijn gesteld ter bestrijding van zware criminaliteit, kunnen worden gebruikt in onderzoeken naar ambtsmisdrijven die verband houden met corruptie’.

(…)

26 Dienaangaande zij eraan herinnerd dat het volgens vaste rechtspraak, in het kader van de in artikel 267 VWEU geregelde samenwerking tussen het Hof en de nationale rechterlijke instanties, uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, gelet op de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging van het Unierecht, is het Hof derhalve in beginsel verplicht daarop te antwoorden (…).

27 Bijgevolg geldt voor prejudiciële vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen (…).

(…)

29 Deze vraag is dus niet hypothetisch en derhalve ontvankelijk.

(…)

34 Gelet op het voorgaande moet worden geoordeeld dat de verwijzende rechter met zijn vraag in wezen wenst te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale bepaling op grond waarvan de nationale rechter – bij een voorafgaande toetsing naar aanleiding van een in het kader van een strafrechtelijk onderzoek door een bevoegde nationale instantie ingediend verzoek, met redenen omkleed, om toegang tot een geheel van door de aanbieders van elektronische-communicatiediensten bewaarde verkeers- of locatiegegevens aan de hand waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van een gebruiker van een elektronische-communicatiemiddel – verplicht is die toegang te verlenen indien er om wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar, mits er voldoende aanwijzingen voor dergelijke strafbare feiten zijn en deze gegevens relevant zijn voor de vaststelling van de feiten.

35 Om te beginnen zij eraan herinnerd dat het Hof met betrekking tot de voorwaarden waaronder aan overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang kan worden verleend tot verkeers- en locatiegegevens die door aanbieders van elektronische-communicatiediensten zijn opgeslagen, heeft geoordeeld dat een dergelijke toegang alleen kan worden verleend voor zover die gegevens door deze aanbieders overeenkomstig deze richtlijn zijn bewaard (…). Het Hof heeft tevens geoordeeld dat dit artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zich verzet tegen wettelijke maatregelen die voor dergelijke doeleinden, als preventieve maatregel, voorzien in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens (…).

36 Tevens zij herinnerd aan de rechtspraak van het Hof volgens welke enkel de doelstellingen van bestrijding van zware criminaliteit of voorkoming van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging kunnen vormen voor de ernstige inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten, die voortvloeit uit de toegang van overheidsinstanties tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen, zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt (…).

37 Met zijn prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of een dergelijke ernstige inmenging kan worden toegestaan voor strafbare feiten als bedoeld in de in het hoofdgeding aan de orde zijnde nationale regeling.

38 Wat om te beginnen de vraag betreft of toegang als die welke in het hoofdgeding aan de orde is als een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan worden gekwalificeerd, moet worden opgemerkt dat het openbaar ministerie – met het oog op de identificatie van de daders van de vermeende diefstallen die aan de oorsprong van dit geding liggen – de verwijzende rechter op grond van artikel 132, lid 3, van wetsbesluit nr. 196/2003 voor ieder van de betrokken mobiele telefoons toestemming heeft gevraagd om alle gegevens te verzamelen die in het bezit zijn van de telefoonbedrijven en die zijn verkregen door middel van een methode voor het traceren en lokaliseren van de telefonische oproepen en berichten en de met deze telefoons gemaakte verbindingen. Deze verzoeken betroffen meer in het bijzonder de telefoonnummers en de IMEI-codes van uitgaande en inkomende oproepen, bezochte en bereikte sites, tijd en duur van de oproepen en verbindingen, vermelding van de betrokken cellen of zendmasten, alsmede de abonnees en de IMEI-codes van de zenders en geadresseerden van sms- of mms-berichten.

39 Uit de toegang tot een dergelijke reeks verkeers- of locatiegegevens lijken precieze conclusies te kunnen worden getrokken over de persoonlijke levenssfeer van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren (…). De inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten als gevolg van de toegang tot dergelijke gegevens lijkt dus als ernstig te kunnen worden aangemerkt.

40 Zoals blijkt uit punt 39 van het arrest van 2 maart 2021, Prokuratuur (…), kan aan deze beoordeling niet worden afgedaan door het enkele feit dat de twee verzoeken om toegang tot de betrokken verkeers- of locatiegegevens slechts betrekking hadden op korte perioden van minder dan twee maanden, vanaf de datums van de vermeende diefstallen van de mobiele telefoons tot de datums waarop deze verzoeken zijn opgesteld, aangezien deze verzoeken betrekking hadden op een geheel van dergelijke gegevens die nauwkeurige informatie kunnen verschaffen over de persoonlijke levenssfeer van de gebruikers van de mobiele telefoons in kwestie.

41 Voor de beoordeling of er sprake is van een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten is het evenmin relevant dat de gegevens waartoe het openbaar ministerie toegang heeft gevraagd, niet die van de eigenaren van de mobiele telefoons in kwestie zijn, maar die van de personen die met elkaar hebben gecommuniceerd door deze telefoons na hun vermeende diefstallen te gebruiken. Uit artikel 5, lid 1, van richtlijn 2002/58 blijkt namelijk dat de principiële verplichting om het vertrouwelijke karakter van de elektronische communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten te garanderen, ziet op de communicatie van de gebruikers van dat netwerk. Artikel 2, onder a), van deze richtlijn definieert „gebruiker” als een natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijs op die dienst te zijn geabonneerd.

42 Wanneer inmengingen in de grondrechten als gevolg van de toegang tot gegevens als die welke in het hoofdgeding aan de orde zijn, als ernstig kunnen worden beschouwd, kunnen zij gelet op de in punt 36 van het onderhavige arrest aangehaalde rechtspraak bijgevolg slechts worden gerechtvaardigd door de doelstellingen van bestrijding van zware criminaliteit of voorkoming van ernstige bedreigingen van de openbare veiligheid.

43 Vervolgens staat het weliswaar aan het nationale recht om de voorwaarden vast te stellen waaronder aanbieders van elektronische-communicatiediensten de bevoegde nationale autoriteiten toegang moeten verlenen tot de gegevens waarover zij beschikken, maar een dergelijke regeling moet duidelijke en nauwkeurige regels bevatten die de reikwijdte en de toepassingsvoorwaarden van die toegang vastleggen. Voor het doel van bestrijding van de criminaliteit kan in beginsel slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht betrokken te zijn bij een ernstig strafbaar feit. Om te garanderen dat deze voorwaarden, die waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt, in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens, behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid, wordt onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit (…).

44 Wat ten slotte de definitie van „ernstig strafbaar feit” betreft, blijkt uit de rechtspraak dat, voor zover de Unie ter zake geen wetgeving heeft vastgesteld, het strafrecht en het strafprocesrecht tot de bevoegdheid van de lidstaten behoren. Zij moeten deze bevoegdheid echter uitoefenen met inachtneming van het Unierecht (…).

45 In dit verband zij opgemerkt dat de definitie van strafbare feiten, verzachtende en verzwarende omstandigheden en sancties zowel de maatschappelijke realiteit als de rechtstradities weerspiegelen, die niet alleen van lidstaat tot lidstaat maar ook in de tijd verschillen. Deze realiteiten en tradities zijn evenwel van belang om te bepalen welke strafbare feiten als ernstig worden beschouwd.

46 Gelet op de verdeling van de bevoegdheden tussen de Unie en de lidstaten krachtens het VWEU en op de aanzienlijke verschillen tussen de rechtsstelsels van de lidstaten op strafrechtelijk gebied, dient derhalve te worden geoordeeld dat het aan de lidstaten staat om „ernstige strafbare feiten” te definiëren voor de toepassing van artikel 15, lid 1, van richtlijn 2002/58.

47 De door de lidstaten gehanteerde definitie van „ernstige strafbare feiten” moet echter voldoen aan de vereisten die voortvloeien uit dat artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest.

48 In dit verband zij eraan herinnerd dat artikel 15, lid 1, van richtlijn 2002/58, omdat het de lidstaten toestaat wettelijke maatregelen te treffen ter „beperking van de reikwijdte” van de in onder meer de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten, zoals die welke voortvloeien uit de beginselen van vertrouwelijkheid van communicatie en uit het verbod op het opslaan van daarmee verband houdende gegevens, een uitzondering vormt op de algemene regel die in onder meer de artikelen 5, 6 en 9 is neergelegd, en dus volgens vaste rechtspraak strikt moet worden uitgelegd. Een dergelijke bepaling kan dus niet rechtvaardigen dat de uitzondering op de principeverplichting om de vertrouwelijkheid van elektronische communicatie en daarmee verband houdende gegevens te waarborgen de regel wordt omdat artikel 5 van die richtlijn in dat geval grotendeels haar inhoud zou verliezen (…).

49 Bovendien volgt uit artikel 15, lid 1, derde volzin, van richtlijn 2002/58 dat de maatregelen die de lidstaten krachtens deze bepaling treffen, in overeenstemming moeten zijn met de algemene beginselen van de Unie, waaronder het evenredigheidsbeginsel, en de naleving van de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten moeten verzekeren (…).

50 Hieruit volgt dat de lidstaten het begrip „ernstig strafbaar feit” en, in het verlengde daarvan, het begrip „zware criminaliteit” niet mogen uithollen door er voor de toepassing van genoemd artikel 15, lid 1, strafbare feiten in op te nemen die kennelijk niet ernstig zijn in het licht van de maatschappelijke omstandigheden in de betrokken lidstaat, ook al heeft de wetgever van die lidstaat bepaald dat zij worden bestraft met een maximale gevangenisstraf van drie jaar.

51 Met name om na te gaan of er geen sprake is van een dergelijke onjuiste opvatting, is het van wezenlijk belang dat wanneer de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens het risico van een ernstige inmenging in de grondrechten van de betrokkene inhoudt, deze toegang ofwel afhankelijk is van een voorafgaande toetsing door een rechterlijke instantie, ofwel door een onafhankelijke bestuurlijke entiteit (…).

52 In casu blijkt uit de verwijzingsbeslissing dat artikel 132, lid 3, van wetsbesluit nr. 196/2003 de voorwaarden vaststelt waaronder toegang tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens kan worden verleend door een rechter bij wie een overheidsinstantie een met redenen omkleed verzoek heeft ingediend. Om de strafbare feiten te definiëren waarvoor met het oog op vervolging toegang kan worden verleend tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens, wordt in die bepaling verwezen naar een maximale gevangenisstraf van ten minste drie jaar. Deze bepaling stelt die toegang afhankelijk van de dubbele voorwaarde dat er „voldoende aanwijzingen voor een strafbaar feit” zijn en dat die gegevens „relevant zijn voor de vaststelling van de strafbare feiten”.

53 De verwijzende rechter vraagt zich evenwel af of de in deze bepaling vervatte definitie van „ernstige strafbare feiten”, voor de vervolging waarvan toegang tot gegevens kan worden verleend, niet te ruim is, aangezien zij betrekking heeft op strafbare feiten die nauwelijks maatschappelijke onrust veroorzaken.

54 In dit verband moet ten eerste worden opgemerkt dat een definitie volgens welke „ernstige strafbare feiten” waarvoor bij de vervolging ervan toegang kan worden verleend, strafbare feiten zijn waarvoor de maximumgevangenisstraf ten minste gelijk is aan een bij wet bepaalde duur, op een objectief criterium berust. Dit voldoet aan het vereiste dat de nationale wettelijke regeling aan de hand van objectieve criteria bepaalt in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens in kwestie moet worden verleend (…).

55 Ten tweede volgt uit de in punt 48 van het onderhavige arrest aangehaalde rechtspraak dat de definitie die in het nationale recht wordt gegeven van „ernstige strafbare feiten” op grond waarvan toegang kan worden verleend tot de door de aanbieders van elektronische-communicatiediensten bewaarde gegevens, op basis waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen, niet zo ruim mag zijn dat de toegang tot die gegevens de regel in plaats van de uitzondering wordt. Die definitie kan dus niet de overgrote meerderheid van de strafbare feiten omvatten, hetgeen het geval zou zijn indien de drempel waarboven de maximumstraf van een strafbaar feit als ernstig strafbaar feit wordt aangemerkt, op een buitensporig laag niveau zou worden vastgesteld.

56 Een drempel die is vastgesteld op basis van een maximale gevangenisstraf van drie jaar, lijkt in dit verband niet buitensporig laag (…).

57 Aangezien de definitie van „ernstige strafbare feiten”, waarvoor om toegang tot de door de aanbieders van elektronische communicatie bewaarde gegevens kan worden verzocht, niet wordt vastgesteld aan de hand van een toepasselijke minimumstraf maar aan de hand van een toepasselijke maximumstraf, is het inderdaad niet uitgesloten dat toegang tot gegevens, wat een ernstige inmenging in de grondrechten vormt, kan worden gevraagd met het oog op de vervolging van strafbare feiten die in werkelijkheid geen zware criminaliteit uitmaken (…).

58 De vaststelling van een drempel waarboven de maximumgevangenisstraf die op een strafbaar feit staat rechtvaardigt dat het als een ernstig strafbaar feit wordt aangemerkt, is echter niet noodzakelijkerwijs in strijd met het evenredigheidsbeginsel.

59 Ten eerste lijkt dit het geval te zijn voor een bepaling als die welke in het hoofdgeding aan de orde is, aangezien zij, zoals blijkt uit de verwijzingsbeslissing, in algemene zin betrekking heeft op de toegang tot de door aanbieders van elektronische-communicatiediensten bewaarde gegevens, zonder de aard van die gegevens te preciseren. Deze bepaling lijkt dus met name te gelden voor gevallen waarin de toegang niet kan worden aangemerkt als een ernstige inmenging omdat zij geen betrekking heeft op een geheel van gegevens waaruit precieze conclusies over de persoonlijke levenssfeer van de betrokkenen kunnen worden getrokken.

60 Ten tweede moet de rechter of de onafhankelijke bestuurlijke entiteit, bij een voorafgaande toetsing naar aanleiding van een met redenen omkleed verzoek om toegang, die toegang kunnen weigeren of beperken wanneer hij of zij vaststelt dat de inmenging in de grondrechten die een dergelijke toegang zou opleveren ernstig is, terwijl het duidelijk is dat het strafbare feit in kwestie niet daadwerkelijk zware criminaliteit uitmaakt (…).

61 De rechter of entiteit die belast is met de toetsing, moet namelijk in staat zijn om een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft (…).

62 In het kader van het onderzoek van de evenredigheid van de aantasting van de grondrechten van de betrokkene door het verzoek om toegang, moet deze rechter of instantie die toegang met name kunnen weigeren wanneer deze wordt gevraagd in het kader van een strafvervolging wegens een strafbaar feit dat kennelijk niet ernstig is in de zin van punt 50 van dit arrest.

63 Uit het voorgaande volgt dat op de prejudiciële vraag moet worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale bepaling op grond waarvan de nationale rechter – bij een voorafgaande toetsing naar aanleiding van een in het kader van een strafrechtelijk onderzoek door een bevoegde nationale instantie ingediend verzoek, met redenen omkleed, om toegang tot een geheel van door de aanbieders van elektronische-communicatiediensten bewaarde verkeers- of locatiegegevens aan de hand waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van een gebruiker van een elektronische-communicatiemiddel – verplicht is die toegang te verlenen indien er om wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar, mits er voldoende aanwijzingen voor dergelijke strafbare feiten zijn en deze gegevens relevant zijn voor de vaststelling van de feiten, op voorwaarde evenwel dat die rechter die toegang kan weigeren indien deze wordt gevraagd in het kader van een onderzoek naar een inbreuk die, gelet op de maatschappelijke omstandigheden in de betrokken lidstaat, kennelijk niet ernstig is.’

(…)

23 Artikel L. 331-21 CPI bepaalt:

„Voor de uitoefening van de taken van de commissie voor bescherming van rechten beschikt [Hadopi] over beëdigde overheidsambtenaren die door [haar] voorzitter gemachtigd zijn onder voorwaarden die zijn vastgesteld in een decreet waarover voorafgaandelijk het advies van de Conseil d’État [(hoogste bestuursrechter, Frankrijk)] is ingewonnen. [...]

De leden van de commissie voor bescherming van rechten en de in de eerste alinea genoemde ambtenaren ontvangen de aan deze commissie voorgelegde zaken onder de in artikel L. 331-24 vastgestelde voorwaarden. Zij onderzoeken de feiten.

Zij kunnen ten behoeve van de procedure alle documenten verkrijgen ongeacht de drager waarop zij zijn opgeslagen, daaronder begrepen de gegevens die bewaard en verwerkt worden door de exploitanten van elektronische-communicatiediensten overeenkomstig artikel L. 34-1 van de code des postes et des communications électroniques [(wetboek van posterijen en elektronische communicatie)] en door de dienstverrichters die worden genoemd in artikel 6, lid I, punten 1 en 2, van loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [(wet nr. 2004-575 van 21 juni 2004 voor het vertrouwen in de digitale economie)].

Zij kunnen ook een afschrift van de in de vorige alinea genoemde documenten ontvangen.

Zij kunnen met name van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

(…)

27 Artikel L. 335-2, eerste en tweede alinea, van dit wetboek preciseert:

„Elke uitgave van geschriften, muziekwerken, tekeningen, schilderijen of andere producties die in strijd met de wetten en voorschriften betreffende de eigendom van auteurs geheel of gedeeltelijk worden gedrukt of gegraveerd, vormt namaak en is bijgevolg een strafbaar feit.

Namaak in Frankrijk van in Frankrijk of in het buitenland gepubliceerde werken wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

28 In artikel L. 335-4, eerste alinea, van dit wetboek wordt bepaald:

„Elke vastlegging, reproductie, mededeling of terbeschikkingstelling aan het publiek, tegen betaling of kosteloos, of elke televisie-uitzending van een uitvoering, fonogram, videogram, programma of perspublicatie, die zonder de vereiste toestemming van de uitvoerende kunstenaar, de producent van fonogrammen of videogrammen, de onderneming voor audiovisuele communicatie, de persuitgever of het persbureau wordt verricht, wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

(…)

34 Artikel R. 335-5 CPI bepaalt:

„I. Er is sprake van grove nalatigheid, die wordt bestraft met een geldboete voor overtredingen van de vijfde categorie, wanneer de houder van een aansluiting op openbare online communicatiediensten, zonder legitieme reden en terwijl aan de in lid II gestelde voorwaarden is voldaan:

1° hetzij geen middel voor de beveiliging van deze toegang heeft aangebracht;

2° hetzij bij het gebruik van dit middel niet de nodige zorgvuldigheid heeft betracht.

53 In het hoofdgeding gaat het om twee afzonderlijke en opeenvolgende verwerkingen van persoonsgegevens in het kader van de activiteiten van Hadopi, een onafhankelijke overheidsinstantie die (…) met name tot taak heeft werken en voorwerpen waarop auteursrechten of naburige rechten rusten te beschermen tegen inbreuken op die rechten die worden gepleegd op elektronische-communicatienetwerken voor de levering van online communicatiediensten aan het publiek.

54 De eerste verwerking wordt upstream verricht door beëdigde en gemachtigde ambtenaren van organisaties van rechthebbenden en vindt plaats in twee fasen. Eerst worden IP-adressen die kennelijk zijn gebruikt voor activiteiten die een inbreuk op auteursrechten of naburige rechten kunnen vormen, verzameld op peer-to-peernetwerken. Vervolgens wordt een reeks persoonsgegevens en informatie in de vorm van processen-verbaal aan Hadopi ter beschikking gesteld. Deze gegevens zijn (…) de datum en het tijdstip van de feiten, het IP-adres van de betrokken abonnees, het gebruikte peer-to-peerprotocol, het door de abonnee gebruikte pseudoniem, de informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben, de naam van het bestand zoals aanwezig op de computer van de abonnee (indien van toepassing), en de internetprovider bij wie het abonnement is genomen of die de IP-technische middelen heeft geleverd.

55 De tweede verwerking, die op verzoek van Hadopi downstream door de internetproviders wordt verricht, verloopt eveneens in twee fasen. Eerst worden de upstream verzamelde IP-adressen gekoppeld aan de houders van deze adressen. Vervolgens wordt een reeks persoonsgegevens en informatie over die houders, die hoofdzakelijk betrekking hebben op hun burgerlijke identiteit, aan deze overheidsinstantie ter beschikking gesteld. Deze gegevens zijn (…) hoofdzakelijk de achternaam en voornamen, het postadres en de e-mailadressen, de telefoongegevens en het adres van de telefooninstallatie van de abonnee.

56 Met betrekking tot laatstgenoemde gegevens wordt in artikel L. 331-21, vijfde alinea, CPI (…), bepaald dat de leden van de commissie voor bescherming van rechten van Hadopi en de door de voorzitter gemachtigde beëdigde ambtenaren van deze instantie van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens kunnen verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de rechten, wanneer deze toestemming wordt vereist.

57 Met deze verschillende verwerkingen van persoonsgegevens wordt beoogd Hadopi in staat te stellen om, jegens de aldus geïdentificeerde houders van IP-adressen, de maatregelen te nemen waarin is voorzien in het kader van de administratieve zogenoemde „graduated response”-procedure (…). Deze maatregelen zijn allereerst de verzending van „aanbevelingen”, die zijn te vergelijken met waarschuwingen; vervolgens, indien de commissie voor bescherming van rechten van Hadopi binnen een jaar na de verzending van een tweede aanbeveling wordt aangezocht voor feiten die een herhaling van het vastgestelde verzuim kunnen vormen, de (…) kennisgeving aan de abonnee dat de feiten de (…) inbreuk van „grove nalatigheid” kunnen vormen, een overtreding die kan worden bestraft met een maximumgeldboete van 1 500 EUR en 3 000 EUR in geval van recidive; en ten slotte, na beraadslaging, het melden aan het openbaar ministerie van feiten die een dergelijke overtreding kunnen vormen of, in voorkomend geval, het strafbare feit van namaak (…), dat wordt bestraft met drie jaar gevangenis en een geldboete van 300 000 EUR.

58 De vragen van de verwijzende rechter hebben uitsluitend betrekking op de in punt 55 van dit arrest beschreven downstreamverwerking en niet op de upstreamverwerking, waarvan de essentiële kenmerken in punt 54 van dit arrest zijn uiteengezet.

(…)

63 De downstreamverwerking die is beschreven in punt 55 van dit arrest valt wel binnen de werkingssfeer van richtlijn 2002/58, aangezien zij plaatsvindt „in verband met de levering van [...] elektronische-communicatiediensten” in de zin van artikel 3 van die richtlijn, voor zover de betreffende gegevens (…) zijn verkregen door aanbieders van elektronische-communicatiediensten.

Aan artikel 15, lid 1, van richtlijn 2002/58 ontleende rechtvaardiging voor de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit die door aanbieders van elektronische-communicatiediensten worden bewaard met het oog op de bestrijding van online namaak

64 Gelet op deze opmerkingen vooraf rijst de vraag of, zoals de verwijzende rechter wenst te vernemen, de beperking van de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten ten gevolge van de toegang van een overheidsinstantie zoals Hadopi tot gegevens betreffende de burgerlijke identiteit die overeenkomen met een IP-adres waarover zij reeds beschikt, kan worden gerechtvaardigd op grond van artikel 15, lid 1, van richtlijn 2002/58.

65 De toegang tot dergelijke persoonsgegevens kan alleen worden verleend voor zover zij zijn bewaard op een wijze die in overeenstemming is met richtlijn 2002/58 (…).

Vereisten inzake de bewaring van gegevens betreffende de burgerlijke identiteit en van daarmee overeenkomende IP-adressen door aanbieders van elektronische-communicatiediensten

(…)

70 Dat het de lidstaten op grond van artikel 15, lid 1, van richtlijn 2002/58 is toegestaan om te voorzien in bepaalde uitzonderingsmaatregelen, zoals in herinnering is gebracht in punt 66 van dit arrest, heeft ermee te maken dat de in de artikelen 7, 8 en 11 van het Handvest verankerde rechten geen absolute gelding hebben, maar moeten worden beschouwd in relatie tot hun functie in de samenleving. (…)

71 In casu moet worden opgemerkt dat Hadopi formeel weliswaar alleen toegang heeft tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit, maar dat daartoe eerst door de betrokken aanbieders van elektronische-communicatiediensten een koppeling moet worden gemaakt tussen het IP-adres en de gegevens betreffende de burgerlijke identiteit van de houder van dat adres. Deze toegang veronderstelt dus noodzakelijkerwijs dat de aanbieders over zowel de IP-adressen als de gegevens betreffende de identiteit van de houders ervan beschikken.

72 Bovendien tracht deze overheidsinstantie toegang tot die gegevens te verkrijgen met als enige doel de houder te identificeren van een IP-adres dat is gebruikt voor activiteiten die mogelijk inbreuk maken op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. In die omstandigheden moeten de gegevens betreffende de burgerlijke identiteit worden geacht nauw verband te houden met zowel het IP-adres als de informatie over het werk dat op het internet ter beschikking is gesteld en waarover Hadopi beschikt.

73 Aan een dergelijke specifieke context mag niet voorbij worden gegaan bij het onderzoek van een eventuele rechtvaardiging van een maatregel tot bewaring van persoonsgegevens uit hoofde van artikel 15, lid 1, van richtlijn 2002/58, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest (…).

74 In het licht van de vereisten die op het gebied van de bewaring van IP-adressen voortvloeien uit dat artikel 15, lid 1, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest, moet bijgevolg worden onderzocht of de inmenging in de in die artikelen van het Handvest verankerde grondrechten die het gevolg is van de bewaring door aanbieders van openbare elektronische-communicatiediensten van de gegevens waartoe Hadopi het recht van toegang heeft, kan worden gerechtvaardigd.

75 In deze context moet worden opgemerkt dat volgens vaste rechtspraak van het Hof de IP-adressen weliswaar – zoals in herinnering is gebracht in punt 60 van dit arrest – verkeersgegevens in de zin van richtlijn 2002/58 vormen, maar zich onderscheiden van de andere categorieën verkeers- en locatiegegevens.

(…)

79 Niettemin moet worden benadrukt dat niet elke algemene en ongedifferentieerde bewaring van een eventueel uitgebreide verzameling statische en dynamische IP-adressen die een persoon gedurende een bepaalde periode gebruikt, noodzakelijkerwijs een ernstige inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten vormt.

(…)

82 De bij een wettelijke maatregel krachtens artikel 15, lid 1, van richtlijn 2002/58 aan aanbieders van elektronische-communicatiediensten opgelegde verplichting om te zorgen voor een algemene en ongedifferentieerde bewaring van IP-adressen kan daarentegen in voorkomend geval worden gerechtvaardigd door de doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer daadwerkelijk is uitgesloten dat die bewaring kan leiden tot ernstige inmenging in het privéleven van de betrokkene doordat daarover nauwkeurige gevolgtrekkingen kunnen worden gemaakt, onder meer door die IP-adressen te koppelen aan een verzameling verkeers- of locatiegegevens die ook door deze aanbieders zijn bewaard.

83 Bijgevolg moet een lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, zich ervan vergewissen dat die gegevens zodanig worden bewaard dat met inachtneming van richtlijn 2002/58 elke combinatie van die IP-adressen met andere bewaarde gegevens wordt uitgesloten, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen te maken over het privéleven van de personen van wie de gegevens aldus worden bewaard.

84 Om ervoor te zorgen dat een dergelijke combinatie van gegevens op basis waarvan nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de betrokkene, wordt uitgesloten, moet de wijze van bewaring betrekking hebben op de structuur zelf van de bewaring, die in wezen zodanig moet worden ingericht dat een daadwerkelijk volledige scheiding van de verschillende categorieën bewaarde gegevens wordt gegarandeerd.

85 In dit verband staat het weliswaar aan de lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, om in zijn wetgeving te voorzien in duidelijke en nauwkeurige regels inzake genoemde wijzen van bewaring, die moeten voldoen aan strikte vereisten, maar kan het Hof deze wijzen nader toelichten.

86 In de eerste plaats moeten de in het vorige punt genoemde nationale regels garanderen dat elke categorie gegevens, met inbegrip van de gegevens betreffende de burgerlijke identiteit en de IP-adressen, volledig gescheiden van de andere categorieën bewaarde gegevens wordt bewaard.

87 In de tweede plaats moeten deze regels waarborgen dat de verschillende categorieën bewaarde gegevens, met name de gegevens betreffende de burgerlijke identiteit, de IP-adressen, de verschillende verkeersgegevens – anders dan IP-adressen – en de verschillende locatiegegevens, technisch volledig van elkaar gescheiden zijn doordat een beveiligd en betrouwbaar IT-instrument wordt gebruikt.

88 In de derde plaats mogen die regels, voor zover zij voorzien in de mogelijkheid om de bewaarde IP-adressen te koppelen aan de burgerlijke identiteit van de betrokkene met inachtneming van de vereisten van artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, een dergelijke koppeling slechts mogelijk maken met behulp van een efficiënt technisch procedé dat geen afbreuk doet aan de doeltreffendheid van de volledige scheiding van deze categorieën gegevens.

89 In de vierde plaats moet de betrouwbaarheid van deze volledige scheiding regelmatig worden getoetst door een andere overheidsinstantie dan die welke toegang wenst te verkrijgen tot de door de aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens.

90 Voor zover in de toepasselijke nationale wetgeving is voorzien in dergelijke strikte vereisten met betrekking tot de wijzen van algemene en ongedifferentieerde bewaring van IP-adressen en andere door de aanbieders van elektronische-communicatiediensten bewaarde gegevens, kan de uit deze bewaring van IP-adressen voortvloeiende inmenging niet wegens de structuur zelf van die bewaring als „ernstig” worden aangemerkt.

91 Wanneer een dergelijke wetgeving wordt ingevoerd, sluiten de aldus voorgeschreven wijzen van bewaring van IP-adressen namelijk uit dat deze gegevens kunnen worden gekoppeld aan andere gegevens die met inachtneming van richtlijn 2002/58 worden bewaard, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene te maken.

92 Wanneer er sprake is van wetgeving die voldoet aan de in de punten 86 tot en met 89 van dit arrest uiteengezette vereisten, zodat het gegarandeerd wordt uitgesloten dat er nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene kunnen worden gemaakt door gegevens te koppelen, verzet artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, zich er dus niet tegen dat de betrokken lidstaat een verplichting tot algemene en ongedifferentieerde bewaring van IP-adressen oplegt met het oog op de bestrijding van strafbare feiten in het algemeen.

(…)

Vereisten inzake de toegang tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten

95 Wat betreft de bestrijding van strafbare feiten vloeit uit de rechtspraak van het Hof voort dat alleen de doelstellingen van bestrijding van zware criminaliteit en van voorkoming van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging vormen voor een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze gevolgtrekkingen kunnen worden gemaakt over de persoonlijke levenssfeer van de betrokkenen, zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt (…).

96 Wanneer daarentegen de inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten – waarbij die gegevens niet kunnen worden gekoppeld aan informatie over de verrichte communicatie – niet ernstig is aangezien uit die gegevens, in hun geheel beschouwd, geen nauwkeurige gevolgtrekkingen over het privéleven van de betrokken personen kunnen worden gemaakt, kan die toegang worden gerechtvaardigd door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen (…).

97 Volgens vaste rechtspraak van het Hof is daarnaast het beginsel van belang dat de toegang tot verkeers- en locatiegegevens op grond van artikel 15, lid 1, van richtlijn 2002/58 enkel kan worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan de aanbieders van elektronische-communicatiediensten is opgelegd, tenzij die toegang wordt gerechtvaardigd door een belangrijkere doelstelling van algemeen belang. Uit dit beginsel vloeit onder meer voort dat een dergelijke toegang met het oog op de bestrijding van strafbare feiten in het algemeen in geen geval kan worden verleend wanneer de bewaring van die gegevens haar rechtvaardiging vindt in de doelstelling van bestrijding van zware criminaliteit of, a fortiori, de doelstelling van bescherming van de nationale veiligheid (…).

98 Een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen kan daarentegen de toegang tot opgeslagen en dus bewaarde verkeers- en locatiegegevens rechtvaardigen voor zover en zolang dat nodig is voor de marketing van de diensten, de facturering en de levering van diensten met toegevoegde waarde, zoals wordt toegestaan door artikel 6 van richtlijn 2002/58 (…).

99 In casu blijkt in de eerste plaats uit de in het hoofdgeding aan de orde zijnde nationale regeling dat Hadopi geen toegang heeft tot een „reeks verkeers- of locatiegegevens” in de zin van de in punt 95 van dit arrest in herinnering gebrachte rechtspraak, zodat zij in beginsel geen nauwkeurige gevolgtrekkingen kan maken over het privéleven van de betrokkenen. Wanneer de toegang dergelijke gevolgtrekkingen niet mogelijk maakt, vormt zij geen ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten.

100 Volgens deze regeling en de door de Franse regering gegeven toelichting op dit onderwerp wordt de aan deze overheidsinstantie verleende toegang namelijk strikt beperkt tot bepaalde gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres en enkel toegestaan met het doel om die houder te identificeren wanneer die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. Met deze toegang wordt in voorkomend geval beoogd ten aanzien van die houder een van de educatieve of repressieve maatregelen vast te stellen waarin is voorzien in het kader van de graduated response-procedure, te weten de verzending van een eerste en een tweede aanbeveling en vervolgens van een brief waarin hem wordt meegedeeld dat deze activiteit een grove nalatigheid kan opleveren en, ten slotte, de melding aan het openbaar ministerie met het oog op de vervolging van deze overtreding of het strafbare feit van namaak.

101 Voorts moet die nationale regeling duidelijke en nauwkeurige regels bevatten die waarborgen dat de in overeenstemming met richtlijn 2002/58 bewaarde IP-adressen uitsluitend kunnen worden gebruikt om de persoon te identificeren aan wie een bepaald IP-adres is toegewezen, met uitsluiting van gebruik dat het mogelijk maakt om via een of meer van deze adressen toezicht te houden op de onlineactiviteit van de betrokkene. Wanneer een IP-adres dus uitsluitend wordt gebruikt om de houder ervan te identificeren in het kader van een specifieke administratieve procedure die kan leiden tot strafvervolging tegen hem, en niet om bijvoorbeeld de contacten of de locatie van die houder aan het licht te brengen, betreft de toegang tot dat adres voor enkel dat doel, dat adres als een gegeven betreffende de burgerlijke identiteit en niet als verkeersgegeven.

102 Daarnaast volgt uit het beginsel dat is vastgelegd in de vaste rechtspraak die in punt 97 van dit arrest in herinnering is gebracht, dat een toegang zoals die waarover Hadopi krachtens de in het hoofdgeding aan de orde zijnde nationale regeling beschikt en die het doel van de bestrijding van strafbare feiten in het algemeen nastreeft, slechts gerechtvaardigd kan zijn indien zij betrekking heeft op IP-adressen die door aanbieders van elektronische-communicatiediensten moeten worden bewaard met het oog op hetzelfde doel en niet met het oog op een belangrijkere doelstelling, zoals de bestrijding van zware criminaliteit, zonder evenwel afbreuk te doen aan de toegang die wordt gerechtvaardigd door een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer zij betrekking heeft op IP-adressen die zijn opgeslagen en dus worden bewaard onder de voorwaarden van artikel 6 van richtlijn 2002/58.

103 Zoals blijkt uit de punten 85 tot en met 92 van dit arrest, kan de bewaring van IP-adressen op basis van een wettelijke maatregel op grond van artikel 15, lid 1, van richtlijn 2002/58 met het oog op de bestrijding van strafbare feiten in het algemeen bovendien gerechtvaardigd zijn wanneer de door de betrokken wetgeving vastgestelde wijzen van bewaring voldoen aan een reeks vereisten die in wezen beogen te verzekeren dat de verschillende categorieën bewaarde gegevens daadwerkelijk volledig van elkaar worden gescheiden, zodat het daadwerkelijk onmogelijk wordt gemaakt om gegevens die tot verschillende categorieën behoren, te koppelen. Wanneer dergelijke wijzen van bewaring aan aanbieders van elektronische-communicatiediensten worden opgelegd, vormt een algemene en ongedifferentieerde bewaring van IP-adressen namelijk geen ernstige inmenging in het privéleven van de houders ervan, aangezien aan de hand van deze gegevens geen nauwkeurige gevolgtrekkingen over hun privéleven kunnen worden gemaakt.

104 Ingeval een dergelijke wettelijke regeling is ingevoerd, kan de toegang tot de bewaarde IP-adressen met het oog op de bestrijding van strafbare feiten in het algemeen – gelet op de in de punten 95 tot en met 97 van dit arrest in herinnering gebrachte rechtspraak – dus gerechtvaardigd zijn in het licht van artikel 15, lid 1, van richtlijn 2002/58 wanneer die toegang is toegestaan met als enige doel de persoon te identificeren die ervan wordt verdacht betrokken te zijn bij dergelijke strafbare feiten.

(…)

107 In de tweede plaats mag bij de concrete beoordeling van de mate van inmenging in het privéleven door de toegang van een overheidsinstantie tot persoonsgegevens niet worden voorbijgegaan aan de specifieke kenmerken van de context waarin die toegang plaatsvindt, en in het bijzonder aan alle gegevens en informatie die krachtens de toepasselijke nationale regeling aan die instantie zijn meegedeeld, waaronder reeds bestaande inhoudelijk veelzeggende gegevens en informatie (…).

108 In casu is het dus van belang dat bij die beoordeling rekening wordt gehouden met het feit dat de organisaties van rechthebbenden (…) onder meer „informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben” en, „indien van toepassing”, de „naam van het bestand zoals aanwezig op de computer van de abonnee”, aan Hadopi verzenden, voordat zij toegang krijgt tot de betrokken gegevens betreffende de burgerlijke identiteit.

109 Onder voorbehoud van verificatie door de verwijzende rechter blijkt uit het dossier waarover het Hof beschikt dat de informatie over het betrokken werk, (…) in wezen beperkt is tot de titel van het betrokken werk en een uittreksel met de naam „chunk”, dat de vorm heeft van een alfanumerieke reeks en niet van een audio- of video-opname van het werk.

110 In dit verband kan in het algemeen niet worden uitgesloten dat een overheidsinstantie die toegang heeft tot een beperkt aantal gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres dat haar door een aanbieder van elektronische-communicatiediensten is meegedeeld met als enige doel die houder te identificeren ingeval dat adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten – indien deze toegang wordt gekoppeld aan de analyse van informatie, ook al is die beperkt, over de inhoud van het onrechtmatig op het internet ter beschikking gestelde werk die eerder door de organisaties van rechthebbenden aan die instantie is verstrekt – dankzij deze toegang kennis kan nemen van bepaalde aspecten van het privéleven van die houder, waaronder gevoelige informatie, zoals seksuele geaardheid, politieke opvattingen, godsdienstige, levensbeschouwelijke, maatschappelijke of andere overtuigingen, alsmede de gezondheidstoestand, gegevens die bovendien in het Unierecht bijzondere bescherming genieten.

111 In casu kunnen de beperkte gegevens en informatie waarover Hadopi beschikt door de aard ervan evenwel enkel in atypische situaties mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene, die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven, bijvoorbeeld door een gedetailleerd profiel van hem op te stellen.

112 Dit zou met name het geval kunnen zijn wanneer het IP-adres van een persoon herhaaldelijk of zelfs op grote schaal is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels, en die mogelijk gevoelige informatie over aspecten van zijn privéleven kunnen onthullen.

113 Niettemin kan uit verschillende elementen worden afgeleid dat de inmenging in het privéleven van een persoon die ervan wordt verdacht een activiteit te hebben verricht die inbreuk maakt op auteursrechten of naburige rechten, welke inmenging wordt toegestaan door een regeling zoals die welke in het hoofdgeding aan de orde is, in casu niet noodzakelijkerwijs zeer ernstig is. Om te beginnen is de toegang van Hadopi tot de betrokken persoonsgegevens overeenkomstig een dergelijke regeling voorbehouden aan een beperkt aantal gemachtigde en beëdigde ambtenaren van deze overheidsinstantie, die (…) een onafhankelijke status heeft. Vervolgens heeft deze toegang enkel tot doel een persoon te identificeren die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, wanneer wordt vastgesteld dat vanaf zijn internetaansluiting een beschermd werk onrechtmatig ter beschikking is gesteld. Ten slotte is de toegang van Hadopi tot de betrokken persoonsgegevens strikt beperkt tot de gegevens die voor dat doel noodzakelijk zijn (…).

114 Uit het dossier waarover het Hof beschikt, lijkt nog een ander element voort te vloeien dat de inmenging in de grondrechten op bescherming van de persoonlijke levenssfeer en van persoonsgegevens die voortvloeit uit die toegang van Hadopi verder kan verminderen, maar het staat aan de verwijzende rechter om dit na te gaan. Het betreft het feit dat de ambtenaren van Hadopi die toegang hebben tot de betrokken gegevens en informatie krachtens de toepasselijke nationale regeling gehouden zijn aan een geheimhoudingsplicht die hen verbiedt om deze in welke vorm dan ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen – en om deze te gebruiken voor andere doeleinden dan de identificatie van de houder van een IP-adres die wordt verdacht van een activiteit die inbreuk maakt op het auteursrecht of een naburig recht teneinde aan die houder een van de in het kader van de graduated response-procedure ingestelde maatregelen op te leggen (…).

115 Indien een nationale regeling voldoet aan de in punt 101 van dit arrest in herinnering gebrachte voorwaarden, kunnen de IP-adressen die worden meegedeeld aan een overheidsinstantie zoals Hadopi het dus niet mogelijk maken om de zoekgeschiedenis van de houder ervan te traceren, hetgeen bevestigt dat de inmenging die voortvloeit uit de toegang van die instantie tot de in het hoofdgeding aan de orde zijnde identificatiegegevens, niet als ernstig kan worden aangemerkt.

116 In de derde plaats zij eraan herinnerd dat, ook al zijn de vrijheid van meningsuiting en de vertrouwelijkheid van persoonsgegevens belangrijke prioriteiten en moeten de gebruikers van telecommunicatie en internetdiensten de verzekering hebben dat hun privacy en hun vrijheid van meningsuiting worden geëerbiedigd, het krachtens het evenredigheidsvereiste van artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 noodzakelijk is om de betrokken rechten en belangen met elkaar te verzoenen, waardoor deze grondrechten niet absoluut zijn. Bij een afweging van de betrokken rechten en belangen moeten deze grondrechten namelijk soms wijken voor andere grondrechten en vereisten van algemeen belang, zoals de bescherming van de openbare orde en het voorkomen van strafbare feiten of de bescherming van de rechten en vrijheden van anderen. Dit is met name het geval wanneer het doorslaggevende belang dat aan die prioriteiten wordt gehecht, de doeltreffendheid van een vooronderzoek kan belemmeren, met name doordat het onmogelijk of uiterst moeilijk wordt om de dader van een strafbaar feit daadwerkelijk te identificeren en hem een sanctie op te leggen (…).

117 In dit kader moet terdege rekening worden gehouden met het feit dat, zoals het Hof reeds heeft geoordeeld, in het geval van online gepleegde strafbare feiten de toegang tot IP-adressen het enige onderzoeksmiddel kan zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd (…).

(…)

120 Het is juist dat de toegang van een overheidsinstantie zoals Hadopi tot gegevens betreffende de burgerlijke identiteit die overeenkomen met het IP-adres waarvandaan het online strafbare feit is gepleegd, niet noodzakelijkerwijs het enige onderzoeksmiddel is dat kan worden gebruikt om de persoon te identificeren die op het tijdstip waarop dat strafbare feit werd gepleegd, de houder van dat adres was. Een dergelijke identificatie kan namelijk ook a priori mogelijk zijn door alle onlineactiviteiten van de betrokkene te onderzoeken, met name door de „sporen” te analyseren die hij op sociale netwerken heeft kunnen achterlaten, zoals de op die netwerken gebruikte inloggegevens of zijn contactgegevens.

121 Zoals de advocaat-generaal (…) heeft opgemerkt, is een dergelijk onderzoeksmiddel echter bijzonder ingrijpend, aangezien het nauwkeurige informatie over het privéleven van de betrokkenen kan onthullen. Dit middel zou voor deze personen dus een ernstigere inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde rechten inhouden dan de inmenging die voortvloeit uit een regeling zoals die welke in het hoofdgeding aan de orde is.

122 Uit het voorgaande volgt dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich in beginsel niet verzet tegen een nationale regeling waarbij aan een overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten toegang wordt verleend tot gegevens betreffende de burgerlijke identiteit die volledig gescheiden worden bewaard door de aanbieders van elektronische-communicatiediensten en die overeenkomen met IP-adressen die van te voren zijn verzameld door organisaties van rechthebbenden, met als enige doel dat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden. (…)

Vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit voordat aan een overheidsinstantie toegang wordt verleend tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit

123 De vraag rijst evenwel of de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit tevens moet worden onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke identiteit.

(…)

128 Zoals blijkt uit de in punt 124 van dit arrest in herinnering gebrachte rechtspraak, heeft het Hof het „van wezenlijk belang” geoordeeld dat de toegang van de bevoegde nationale autoriteiten tot verkeers- en locatiegegevens wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. Deze rechtspraak is evenwel ontwikkeld in de context van nationale maatregelen die, met het oog op een doel dat verband houdt met de bestrijding van zware criminaliteit, een algemene toegang tot alle bewaarde verkeers- en locatiegegevens mogelijk maakten, los van enig – zij het ook maar indirect – verband met het nagestreefde doel, en die dus ernstige en zelfs „bijzonder ernstige” inmengingen in de betrokken grondrechten inhielden.

129 Wat betreft de voorwaarden waaronder de toegang tot gegevens betreffende de burgerlijke identiteit kon worden gerechtvaardigd krachtens artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, heeft het Hof daarentegen nergens uitdrukkelijk de noodzaak van een dergelijke voorafgaande toetsing vermeld (…).

130 Uit de rechtspraak van het Hof over het evenredigheidsbeginsel, dat volgens artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 moet worden geëerbiedigd – met name uit de rechtspraak volgens welke, bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging in de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (…) – volgt dat de mate van inmenging in de betrokken grondrechten die de toegang tot de persoonsgegevens in kwestie met zich meebrengt alsmede de gevoeligheid van die gegevens ook van invloed moeten zijn op de materiële en procedurele waarborgen voor die toegang, zoals het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit.

131 Gelet op dit evenredigheidsbeginsel moet derhalve worden geoordeeld dat het vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit noodzakelijk is wanneer, in de context van een nationale regeling die voorziet in de toegang van een overheidsinstantie tot persoonsgegevens, die toegang het risico inhoudt van een ernstige inmenging in de grondrechten van de betrokkene, in die zin dat die overheidsinstantie op basis daarvan nauwkeurige gevolgtrekkingen over zijn privéleven kan maken en, in voorkomend geval, een gedetailleerd profiel van hem kan bepalen.

(…)

134 Wanneer een bewaringsmechanisme zoals beschreven in de punten 86 tot en met 89 van dit arrest wordt ingevoerd, is er bijgevolg in beginsel geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.

135 Dat gezegd zijnde, kan, zoals in de punten 110 en 111 van dit arrest reeds is opgemerkt, niet worden uitgesloten dat in atypische situaties de beperkte gegevens en informatie die in het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure aan een overheidsinstantie ter beschikking worden gesteld mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven en in voorkomend geval een gedetailleerd profiel van hem op te stellen.

136 Zoals blijkt uit punt 112 van dit arrest kan een dergelijk risico voor het privéleven zich met name voordoen wanneer een persoon zich herhaaldelijk of zelfs op grote schaal bezighoudt met activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels die – in voorkomend geval gevoelige – informatie over aspecten van zijn privéleven onthullen.

137 In het kader van de administratieve graduated response-procedure in de onderhavige zaak kan een houder van een IP-adres zo met name worden blootgesteld aan een dergelijk risico voor zijn privéleven wanneer die procedure het stadium bereikt waarin Hadopi moet beslissen om het openbaar ministerie in te lichten met het oog op vervolging van die houder wegens feiten die als grove nalatigheid of als namaak kunnen worden gekwalificeerd.

138 Deze melding aan het openbaar ministerie veronderstelt namelijk dat de houder van een IP-adres reeds twee aanbevelingen en een kennisgevingsbrief heeft ontvangen waarin hij op de hoogte wordt gebracht dat zijn activiteiten strafrechtelijk kunnen worden vervolgd, welke maatregelen impliceren dat Hadopi telkens toegang heeft gehad tot gegevens betreffende de burgerlijke identiteit van die houder van wie het IP-adres is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten, alsmede tot een bestand met betrekking tot dit werk dat hoofdzakelijk de titel ervan bevat.

139 Het valt niet uit te sluiten dat de aldus in de verschillende fasen van de administratieve graduated response-procedure verstrekte gegevens in hun geheel beschouwd en naarmate deze procedure vordert, onderling overeenstemmende en, in voorkomend geval, gevoelige informatie over aspecten van het privéleven van de betrokkene kunnen onthullen op basis waarvan in voorkomend geval zijn profiel kan worden bepaald.

140 De intensiteit van de inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer kan dus toenemen naarmate de graduated response-procedure, die een bepaalde volgorde aanhoudt, de verschillende fasen ervan doorloopt.

141 In casu is het mogelijk dat Hadopi, doordat zij toegang heeft tot alle gegevens over de betrokkene die in de verschillende fasen van die procedure zijn verzameld, deze aan elkaar koppelt en daardoor in staat is om nauwkeurige gevolgtrekkingen te maken over zijn privéleven. In het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure, moet de nationale regeling daarom in een bepaald stadium van die procedure ook voorzien in een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit (…) teneinde het risico van onevenredige inmenging in de grondrechten op bescherming van het privéleven en van de persoonsgegevens van de betrokkene uit te sluiten. Dit betekent in de praktijk dat een dergelijke toetsing moet plaatsvinden voordat Hadopi met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit van een persoon die zijn verkregen van een aanbieder van elektronische-communicatiediensten – nadat die persoon reeds twee aanbevelingen heeft ontvangen – kan koppelen aan het bestand betreffende het werk dat op het internet ter beschikking is gesteld opdat het door anderen kan worden gedownload. Deze toetsing moet dus worden verricht vóór de eventuele verzending van de (…) kennisgevingsbrief, waarin wordt vastgesteld dat deze persoon feiten heeft begaan die een grove nalatigheid kunnen opleveren. Pas na een dergelijke voorafgaande toetsing door en toestemming van een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit kan Hadopi een dergelijke brief verzenden en vervolgens, in voorkomend geval, het openbaar ministerie inlichten met het oog op de vervolging van die inbreuk.

142 Hadopi moet de gevallen kunnen identificeren waarin de houder van het betrokken IP-adres deze derde fase van een dergelijke graduated response-procedure ingaat. Derhalve moet deze procedure zodanig worden georganiseerd en gestructureerd dat de bij de aanbieders van elektronische-communicatiediensten verzamelde gegevens betreffende de burgerlijke identiteit van een persoon die overeenkomen met eerder op het internet verzamelde IP-adressen, door de personen die binnen Hadopi belast zijn met het onderzoek van de feiten niet automatisch kunnen worden gekoppeld aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van die adressen heeft gerechtvaardigd.

143 Deze koppeling met het oog op de derde fase van de graduated response moet dus worden opgeschort wanneer de verzameling van die gegevens betreffende de burgerlijke identiteit, in verband met een tweede mogelijke herhaling van een inbreuk op auteursrechten of naburige rechten, leidt tot het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit zoals beschreven in punt 141 van dit arrest.

(…)

145 Wat voorts het voorwerp van de in de punten 141 tot en met 143 van dit arrest bedoelde voorafgaande toetsing betreft, volgt uit de in de punten 95 en 96 van dit arrest in herinnering gebrachte rechtspraak dat, in de gevallen waarin de betrokkene ervan wordt verdacht de (…) inbreuk van „grove nalatigheid” te hebben gepleegd – die onder strafbare feiten in het algemeen valt – de rechterlijke instantie of de onafhankelijke bestuurlijke entiteit die met die toetsing belast is de toegang moet weigeren wanneer de overheidsinstantie die om toegang heeft verzocht daardoor in staat zou zijn nauwkeurige gevolgtrekkingen te maken over het privéleven van die persoon.

146 Daarentegen zou zelfs een dergelijke toegang aan de hand waarvan dergelijke nauwkeurige gevolgtrekkingen kunnen worden gemaakt, moeten worden toegestaan in de gevallen waarin op basis van de ter kennis van deze rechterlijke instantie of onafhankelijke bestuurlijke entiteit gebrachte gegevens kan worden vermoed dat de betrokkene het strafbare feit van namaak (…) heeft gepleegd, aangezien een lidstaat zich op het standpunt mag stellen dat een dergelijk strafbaar feit, aangezien dat een fundamenteel belang van de samenleving aantast, als een ernstige vorm van criminaliteit kan worden aangemerkt.’

(…)

Vereisten waaraan de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit moet voldoen wat betreft materiële en procedurele voorwaarden alsmede waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens

(…)

164 Gelet op een en ander moet op de drie prejudiciële vragen worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling die toestaat dat de overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door de aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden, zodat deze instantie de houders van deze adressen, die worden gebruikt voor activiteiten die dergelijke inbreuken kunnen vormen, kan identificeren en in voorkomend geval tegen hen kan optreden, mits deze regeling bepaalt dat

– deze gegevens niet langer dan strikt noodzakelijk worden bewaard en tevens in zodanige omstandigheden en op zodanige technische wijzen dat het uitgesloten is dat uit deze bewaring nauwkeurige gevolgtrekkingen over het privéleven van die houders kunnen worden gemaakt, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name kan worden bereikt door aanbieders van elektronische-communicatiediensten te verplichten om de verschillende categorieën persoonsgegevens, zoals gegevens betreffende de burgerlijke identiteit, IP-adressen en verkeers- en locatiegegevens, op een zodanige wijze te bewaren dat een daadwerkelijk volledige scheiding van deze verschillende categorieën gegevens wordt gewaarborgd, waardoor het niet mogelijk is om deze verschillende categorieën gegevens tijdens de bewaring gecombineerd te gebruiken,

– de toegang van die overheidsinstantie tot dergelijke gegevens die daadwerkelijk gescheiden worden bewaard uitsluitend dient om de persoon te identificeren die ervan wordt verdacht een strafbaar feit te hebben gepleegd, en wordt omringd met de nodige waarborgen om uit te sluiten dat, behalve in atypische situaties, dankzij die toegang nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de houders van de IP-adressen, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name inhoudt dat het de ambtenaren van deze instantie die tot die toegang gemachtigd zijn wordt verboden om informatie over de inhoud van de door die houders geraadpleegde bestanden in welke vorm ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen –, de zoekgeschiedenis van die houders te traceren en, meer in het algemeen, deze IP-adressen te gebruiken voor een ander doel dan de identificatie van de houders ervan met het oog op de vaststelling van eventuele maatregelen tegen laatstgenoemden,

– de mogelijkheid voor de personen die binnen die overheidsinstantie met het onderzoek van de feiten belast zijn om dergelijke gegevens te koppelen aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van IP-adressen door organisaties van rechthebbenden heeft gerechtvaardigd, wanneer dezelfde persoon opnieuw een inbreuk op auteursrechten of naburige rechten herhaalt, moet worden getoetst door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit, welke toetsing niet volledig geautomatiseerd kan zijn en moet plaatsvinden vóór een dergelijke koppeling, aangezien die koppeling het in zulke gevallen mogelijk kan maken dat er nauwkeurige gevolgtrekkingen worden gemaakt over het privéleven van die persoon, wiens IP-adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten,

– het door de overheidsinstantie gebruikte systeem voor gegevensverwerking op gezette tijden wordt getoetst door een onafhankelijk orgaan dat ten opzichte van die overheidsinstantie de hoedanigheid van derde heeft, met het doel om de integriteit van het systeem te verifiëren, met inbegrip van de daadwerkelijke waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens, alsmede de doeltreffendheid en betrouwbaarheid ervan voor het opsporen van eventuele tekortkomingen.’

39. Dat antwoord is in lijn met de opvatting die Uw Raad in het arrest van 5 april 2022 had verwoord (rov. 6.6.3). Het antwoord brengt voorts mee dat de tweede subvraag die Uw Raad bij de tweede prejudiciële vraag had gesteld niet meer behoeft te worden beantwoord. Die vraag is gesteld voor het geval het HvJ EU de betreffende begrippen als ‘autonome begrippen van Unierecht’ zag.

40. Uit het arrest Tribunale di Bolzano volgt voorts dat een nationale wettelijke regeling ingevolge welke als ‘ernstige strafbare feiten’ worden aangemerkt strafbare feiten waarvoor de maximumgevangenisstraf ten minste gelijk is aan een bij de wet bepaalde duur, in beginsel door de beugel kan. Het HvJ EU noteert als positief punt dat dit onderscheid ‘op een objectief criterium berust’ (rov. 54). De omschrijving mag niet zo ruim zijn dat de toegang tot de gegevens de regel wordt in plaats van de uitzondering, maar een drempel die is vastgesteld op basis van een maximale gevangenisstraf van drie jaar ‘lijkt in dit verband niet buitensporig laag’ (rov. 55, 56).

41. In artikel 126n Sv, dat de officier van justitie de bevoegdheid geeft van een ‘aanbieder van een communicatiedienst’ te vorderen ‘gegevens te verstrekken over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker’ die ten tijde van de vordering zijn verwerkt dan wel na het tijdstip van de vordering worden verwerkt, betreft de ‘drempel’ een ‘verdenking van een misdrijf als omschreven in artikel 67, eerste lid,’ Sv. Dit artikel staat centraal in de beschikking waar de vordering tot cassatie in het belang der wet tegen is gericht. Artikel 126ng, eerste lid, Sv maakt het (onder meer) mogelijk een vordering als bedoeld in artikel 126nd, eerste lid, artikel 126ne, eerste lid, dan wel artikel 126nf, eerste lid, Sv te richten tot de aanbieder van een communicatiedienst, ‘voor zover de vordering betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van de artikelen 126n en 126na’ Sv. Ook deze bevoegdheden kunnen alleen worden toegepast bij ‘verdenking van een misdrijf als omschreven in artikel 67, eerste lid,’ Sv. Artikel 126nf, eerste lid, Sv kent daarbij als aanvullende voorwaarde dat het misdrijf ‘gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert’. De bevoegdheden van artikel 126ng, tweede lid, en artikel 126ni Sv kennen deze beide voorwaarden eveneens. De in Titel V geregelde bevoegdheden die jegens een ‘aanbieder van een communicatiedienst’ kunnen worden toegepast, kennen als toepassingsvoorwaarde dat ‘uit feiten en omstandigheden een redelijk vermoeden voortvloeit dat in georganiseerd verband misdrijven als omschreven in artikel 67, eerste lid, worden beraamd of gepleegd die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerd verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde opleveren’ (artikel 126o, eerste lid, Sv).

42. Artikel 67, eerste lid, Sv bepaalt dat een bevel tot voorlopige hechtenis kan worden gegeven in geval van verdenking van ‘een misdrijf waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld’. Een bevel tot voorlopige hechtenis kan voorts worden gegeven in geval van verdenking van één van de misdrijven uit het Wetboek van Strafrecht dan wel een bijzondere wet die expliciet in dit artikellid genoemd worden. Uit het arrest Tribunale di Bolzano kan naar het mij voorkomt worden afgeleid dat artikel 15, eerste lid, van richtlijn 2002/58/EG zich er in ieder geval niet tegen verzet dat misdrijven waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld aldus als ernstige strafbare feiten zijn aangemerkt.

43. Bij de specifiek in artikel 67, eerste lid, onder b en c Sv opgesomde misdrijven is er meer ruimte voor aarzeling. Het gaat hier om een bonte verzameling misdrijven, waarop soms een veel lager maximum is gesteld dan vier jaren gevangenisstraf. Er zijn misdrijven bij met een maximale gevangenisstraf van ten hoogste een jaar (zoals kraken, artikel 138a, eerste lid, Sr), of zes maanden (zoals eenvoudig witwassen, artikel 420bis.1 Sr). Aan die aarzeling draagt bij dat uit het arrest La Quadrature du Net II zou kunnen worden afgeleid dat het HvJ EU toch zekere grenzen stelt aan de nationale invulling van het begrip ‘ernstig strafbaar feit’. Namaak, dat ‘wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR’ (rov. 27) kan als een ‘ernstig strafbaar feit’ worden aangemerkt, ‘grove nalatigheid’, dat kan worden bestraft met ‘een geldboete voor overtredingen van de vijfde categorie’ (rov. 34) niet (rov. 145, 146).

44. Toch meen ik dat de doorslag moet geven dat het HvJ EU in het arrest Tribunale di Bolzano met zoveel woorden heeft overwogen dat het aan de lidstaten staat om ernstige strafbare feiten te definiëren. Ik wijs er in dit verband op dat ook de Italiaanse wettelijke regeling waar het HvJ EU zich in dat arrest over uitliet uitzonderingen bevatte op de ‘drempel’ van drie jaren gevangenisstraf. De Italiaanse bepaling noemt ‘de strafbare feiten van bedreigen, lastigvallen of storen van personen via de telefoon, wanneer die een ernstige vorm aannemen’. De gestelde prejudiciële vraag zag ook op dat element van de wettelijke regeling (rov. 24); het HvJ EU heeft zich er niet over uitgelaten. Daar komt bij dat het HvJ EU met zoveel woorden erkent dat ook strafbare feiten waarop een maximumstraf is gesteld die boven de ‘drempel’ ligt, zich in een minder ernstige vorm kunnen voordoen. Het HvJ EU ziet in dat geval een noodzakelijke maar tevens toereikende waarborg in de omstandigheid dat de rechter de toegang kan weigeren (rov. 60-62). Die waarborg is in de Nederlandse situatie ook van toepassing als het gaat om een misdrijf bij verdenking waarvan voorlopige hechtenis kan worden toegepast hoewel de maximumstraf lager ligt dan vier jaren gevangenisstraf.

45. Maar wat daar ook van zij: nu na het arrest Tribunale di Bolzano duidelijk is dat de door het HvJ EU gehanteerde begrippen ‘ernstige strafbare feiten’, ‘ernstige criminaliteit’ en ‘zware criminaliteit’ geen autonome begrippen van Unierecht zijn, behoeft de tweede prejudiciële vraag naar het mij voorkomt niet meer te worden beantwoord.

46. De derde prejudiciële vraag ziet, zo bleek, op het geval waarin ‘geen sprake is van ernstige strafbare feiten of ernstige criminaliteit’. De vraag houdt in of ‘het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG’ in dat geval kan worden toegestaan ‘als in het concrete geval het verlenen van toegang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG’.

47. Uit het arrest Tribunale di Bolzano volgt, zo bleek, ‘dat het aan de lidstaten staat om “ernstige strafbare feiten” te definiëren voor de toepassing van artikel 15, lid 1, van richtlijn 2002/58’. En dat genoemd artikellid zich niet verzet tegen (kort gezegd) een nationale bepaling op grond waarvan de nationale rechter die toegang kan verlenen indien deze wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar. Bij de bespreking van de tweede prejudiciële vraag is aan de orde gekomen dat het Nederlandse Wetboek van Strafvordering het mogelijk maakt die toegang (onder meer) te verlenen bij misdrijven waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld. De beschikking waar de vordering tot cassatie in het belang der wet zich tegen richt betreft diefstal in vereniging van een shovel; op dat misdrijf is – zo overweegt ook de rechtbank – een maximale gevangenisstraf van zes jaren gesteld (artikel 311, eerste lid, onder 4o, Sr). Dat brengt mee dat het misdrijf waar de vordering tot cassatie in het belang der wet op ziet een ‘ernstig strafbaar feit’ betreft.

48. Het arrest Tribunale di Bolzano houdt in dat het volgens vaste rechtspraak van het HvJ EU ‘uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, gelet op de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het hof voorlegt te beoordelen’ (rov. 26). Voor prejudiciële vragen over het Unierecht geldt derhalve ‘een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen’ (rov. 27).

49. Nu uit het antwoord dat het HvJ EU in het arrest Tribunale di Bolzano heeft geformuleerd op de gestelde tweede prejudiciële vraag en de Nederlandse wettelijke regeling kan worden afgeleid dat het misdrijf waar de beschikking van de rechtbank op ziet een ‘ernstig strafbaar feit’ betreft, doet zich naar het mij voorkomt een situatie voor waarin het HvJ EU kan weigeren uitspraak te doen op de derde prejudiciële vraag.

50. Een en ander laat onverlet dat in een nieuwe zaak, waarin de feitenconstellatie daar aanleiding toe zou geven, opnieuw een prejudiciële vraag zou kunnen worden gesteld, die de mogelijkheid kan betreffen om bij een strafbaar feit dat niet onder artikel 67, eerste lid, Sv valt, op grond van een andere bevoegdheid dan de eerder genoemde, toegang te verlenen tot gegevens die onder de reikwijdte van richtlijn 2002/58/EG vallen.

51. Voor het gemak herhaal ik de eerste prejudiciële vraag: ‘Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?’

52. De voorzet voor de formulering van deze vraag in de vordering tot cassatie in het belang der wet luidde wat anders: ‘Betreffen wettelijke maatregelen die in het kader van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang verlenen tot verkeers- en locatiegegevens die niet op grond van een wettelijke verplichting door de aanbieder van een openbaar elektronischecommunicatienetwerk of -dienst bewaard zijn, een activiteit van de staat op strafrechtelijk gebied waarop richtlijn 2002/58/EG ingevolge artikel 1, derde lid, van die richtlijn niet van toepassing is?’

53. Naar de letter genomen zien beide formuleringen enkel op de werkingssfeer van richtlijn 2002/58/EG. In die richting wijzen ook argumenten die in het arrest en in de vordering worden genoemd. Uw Raad wijst erop dat richtlijn 2002/58/EG ‘de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen’ harmoniseert (artikel 1, eerste lid). En dat uit artikel 5 van de richtlijn volgt dat niet alleen het afluisteren, aftappen of opslaan maar ook het ‘anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers’ alleen is geoorloofd als dat bij de wet is toegestaan overeenkomstig artikel 15, eerste lid, van richtlijn 2002/58/EG. In de vordering wordt gewezen op artikel 1, derde lid, van de richtlijn, ingevolge welk de richtlijn ‘niet van toepassing’ is op ‘de activiteiten van de staat op strafrechtelijk gebied’.

54. Uw Raad stelt de geformuleerde vraag evenwel omdat ‘het voor de Nederlandse situatie van belang (is) te weten of de overwegingen van het Hof van Justitie (…) voor zover het daarin gaat om de toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), betrekking hebben op alleen gegevens die worden bewaard op grond van wettelijke maatregelen die door een lidstaat op grond van artikel 15 lid 1 Richtlijn 2002/58/EG zijn getroffen, dan wel ook op gegevens die op een andere, bijvoorbeeld contractuele, grond worden bewaard’ (rov. 6.2.5 verwijst naar rov. 6.2.3). In de vordering is het stellen van een prejudiciële vraag ook voorgesteld tegen de achtergrond van die rechtspraak. Dat duidt erop dat de prejudiciële vraag is gesteld tegen de achtergrond van de veronderstelling dat toepasselijkheid van de richtlijn de toepasselijkheid van de door het HvJ EU geformuleerde rechtsregels inzake het toegang verlenen meebrengt.

55. Denkbaar is evenwel nog dat het één niet noodzakelijkerwijs uit het ander voortvloeit. En dat toepasselijkheid van de richtlijn gepaard gaat met andere (minder stringente) rechtsregels inzake het toegang verlenen tot verkeers- en locatiegegevens. Die afwijking van de tot op heden geformuleerde rechtsregels inzake het toegang verlenen zou dan een rechtvaardiging vinden in de omstandigheid dat de gegevens niet op grond van wettelijke maatregelen bewaard zijn. Ik bespreek in het navolgende eerst of onduidelijkheid rond de werkingssfeer van richtlijn 2002/58/EG aanleiding kan geven de eerste prejudiciële vraag te handhaven. En ik bespreek daarna of er, uitgaande van die toepasselijkheid, onduidelijkheid bestaat over de toepasselijkheid van de in rechtspraak van het HvJ EU neergelegde rechtsregels inzake het toegang verlenen tot bewaarde gegevens.

56. Inzake de werkingssfeer van richtlijn 2002/58/EG heeft het HvJ EU in het arrest Tele2 Sverige en Watson een aantal overwegingen geformuleerd. Die houden in dat in artikel 3 van de richtlijn staat dat zij ‘van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen’. En dat bijgevolg moet worden geoordeeld dat de richtlijn ‘de activiteiten van de aanbieders van dergelijke diensten regelt’ (rov. 70). ‘Binnen de werkingssfeer van de richtlijn valt ook een wettelijke maatregel als aan de orde in het hoofdgeding die betrekking heeft op de toegang van de nationale autoriteiten tot de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens’ (rov. 76). ‘De in artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van het vertrouwelijke karakter van de communicatie en van de daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten’ (rov. 77).

57. In de vordering tot cassatie in het belang der wet zijn daar twee argumenten tegenover gesteld. Het eerste betreft artikel 1, derde lid, van richtlijn 2002/58/EG, waar is bepaald dat de richtlijn niet van toepassing is op ‘de activiteiten van de staat op strafrechtelijk gebied’. Het HvJ EU had in het arrest La Quadrature du Net I evenwel al duidelijk gemaakt op welke ‘activiteiten’ van de staat deze bepaling naar haar oordeel ziet: ‘Wanneer de lidstaten (…) rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatiediensten, wordt de bescherming van de gegevens van de betrokken personen niet beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn (EU) 2016/880’ (rov. 103). De arresten die het HvJ EU na het Prokuratuur-arrest heeft gewezen geven geen aanleiding te veronderstellen dat het HvJ EU aan artikel 1, derde lid, van de richtlijn (alsnog) betekenis wil hechten in de situatie waarin toegang wordt verleend tot gegevens die niet op grond van een wettelijke bewaarplicht zijn bewaard.

58. Het tweede argument dat in de vordering genoemd wordt, ziet op richtlijn 2003/6/EG en verordening 596/2014, die richtlijn 2003/6/EG verving. Uit richtlijn 2003/6/EG volgt dat de bevoegdheden van de bevoegde autoriteit in ieder geval het recht dienden te omvatten ‘bestaande overzichten van telefoon- en dataverkeer te vereisen’ (artikel 12, tweede lid, onder d). Verordening 596/2014 bepaalt dat de bevoegde autoriteit onder meer over de bevoegdheid moet beschikken tot ‘het vorderen, voor zover dat door de nationale wetgeving is toegestaan, van bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt, wanneer er een redelijk vermoeden van een inbreuk bestaat en wanneer dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op artikel 14, onder a) of b), of op artikel 15’ (artikel 23, tweede lid, onder h). Over de verhouding van deze artikelen tot richtlijn 2002/58/EG heeft het HvJ EU zich inmiddels uitgelaten in het arrest VD.

59. Uit die overwegingen kan worden afgeleid dat het HvJ EU de regeling van deze bevoegdheden zo veel mogelijk probeert in te passen in het kader dat in de rechtspraak betreffende richtlijn 2002/58/EG is ontwikkeld. Volgens vaste rechtspraak kan ‘een uitlegging van een bepaling van het Unierecht er niet toe (…) leiden dat aan de duidelijke en precieze bewoordingen van deze bepaling elk nuttig effect wordt ontnomen’ (rov. 71). Maar geen van beide rechtsinstrumenten kan zo worden uitgelegd dat deze ‘de rechtsgrond kan vormen voor een algemene bewaarplicht voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken’ (rov. 78). En de beoordeling van ‘de rechtmatigheid van de verwerking van de overzichten waarover de operatoren van elektronischecommunicatiediensten beschikken (…) moet worden verricht aan de hand van de voorwaarden in richtlijn 2002/58 en van de uitlegging van deze richtlijn in de rechtspraak van het Hof’ (rov. 82).

60. Uit deze overwegingen volgt niet dat het HvJ EU in deze bijzondere regeling een argument ziet om een uitzondering te maken op de rechtsregels die in verband met richtlijn 2002/58/EG zijn geformuleerd, integendeel. Daarmee is inmiddels duidelijk dat aan deze bijzondere regeling geen argument kan worden ontleend voor het standpunt dat richtlijn 2002/58/EG niet ziet op het vorderen van verkeers- en locatiegegevens die niet op grond van een wettelijke bewaarplicht beschikbaar zijn.

61. Al met al meen ik dat voldoende duidelijk is dat wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten aan overheidsinstanties toegang verlenen tot verkeers- en locatiegegevens onder de werkingssfeer van richtlijn 2002/58/EG vallen als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15, eerste lid, richtlijn 2002/58/EG maar die door de aanbieder worden bewaard op een andere grond.

62. Er is derhalve geen aanleiding de eerste prejudiciële vraag te handhaven voor zover het gaat om de vraag die daar naar de letter in gesteld wordt. Zoals aangegeven speelt evenwel ook nog een vraag die met deze vraag verband houdt: zou het kunnen dat het HvJ EU in de omstandigheid dat gegevens niet op grond van wettelijke maatregelen bewaard zijn, aanleiding ziet minder stringente regels te stellen aan het verlenen van toegang?

63. In het arrest en in de vordering tot cassatie in het belang der wet is erop gewezen dat in arresten van het HvJ EU gebezigde formuleringen erop duiden dat de beantwoording van de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden toegestaan, niet afhankelijk is van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens. In het arrest Tele2 Sverige en Watson heeft het HvJ EU overwogen dat de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden verleend, los staat van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens (rov. 113). En in het arrest La Quadrature du Net I is overwogen dat het de lidstaten vrijstaat ‘om in hun wetgeving te bepalen dat met inachtneming van diezelfde materiële en procedurele voorwaarden’ (als welke van toepassing zijn bij een wettelijke bewaarplicht) ‘toegang tot verkeers- en locatiegegevens kan worden verleend met het oog op de bestrijding van zware criminaliteit (…), wanneer die gegevens door een aanbieder zijn bewaard in overeenstemming met de artikelen 5, 6 en 9 of met artikel 15, lid 1, van richtlijn 2002/58’ (rov. 167).

64. Bewoordingen in arresten die na het Prokuratuur-arrest zijn gewezen, wijzen – meen ik – in dezelfde richting, al maak ik een kanttekening bij één overweging. De ‘doelstelling van bestrijding van strafbare feiten in het algemeen’ kan volgens het arrest La Quadrature du Net II de toegang tot ‘bewaarde verkeers- en locatiegegevens rechtvaardigen voor zover en zolang dat nodig is voor de marketing van de diensten, de facturering en de levering van diensten met toegevoegde waarde, zoals wordt toegestaan door artikel 6 van richtlijn 2002/58’ (rov. 98). Dat zou kunnen sporen met het uitgangspunt dat toegang tot bewaarde gegevens mag worden verleend wanneer de daarmee nagestreefde doelstelling belangrijker is dan die welke de bewaring rechtvaardigde. De betekenis die aan deze rechtsoverweging mag worden gehecht is evenwel niet helemaal duidelijk. Het HvJ EU verwijst in deze rechtsoverweging naar de net geciteerde rechtsoverweging 167 in het arrest La Quadrature du Net I, waarin wordt gesproken over ‘zware criminaliteit’. Dat zou erop duiden dat aan de daar genoemde ‘materiële en procedurele voorwaarden’ niet wordt afgedaan. Inzake de vereisten voor toegang is het arrest Commisioner of An Garda Síochána relevant; het HvJ EU overweegt dat de bewaring van gegevens en de toegang ertoe ‘onderscheiden inmengingen in de door de artikelen 7 en 11 van het Handvest gewaarborgde grondrechten vormen, die een verschillende rechtvaardiging krachtens artikel 52, lid 1, ervan vergen’ (rov. 47). Dat wijst erop dat de omstandigheid dat gegevens niet op grond van een wettelijke bewaarplicht worden bewaard, niet relevant is voor de vereiste ‘rechtvaardiging’ voor toegang.

65. Praktisch gesproken is de vraag of de andere grondslag voor de bewaring een andere normering van het verlenen van toegang rechtvaardigt vooral relevant in verband met de verplichting tot inschakeling van de rechter-commissaris. De arresten van het HvJ EU die in het voorgaande aan de orde kwamen duiden er niet op dat het HvJ EU geneigd zal zijn op dat punt een stap terug te doen. In het arrest La Quadrature du Net II geeft het HvJ EU aan dat artikel 15 lid 1 van richtlijn 2002/58/EG zich binnen nader omschreven voorwaarden niet verzet tegen een nationale regeling die toestaat dat een overheidsinstantie als Hadopi ‘toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door de aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden’ (rov. 164). In beginsel is ‘geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit’ (rov. 134). Maar volgens het HvJ EU moet een dergelijke toetsing wel plaatsvinden ‘voordat Hadopi met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit van een persoon die zijn verkregen van een aanbieder van elektronische-communicatiediensten – nadat die persoon reeds twee aanbevelingen heeft ontvangen – kan koppelen aan het bestand betreffende het werk dat op het internet ter beschikking is gesteld opdat het door anderen kan worden gedownload’ (rov. 141).

66. Daarmee wordt in een situatie waarin voor het verlenen van toegang tot gegevens toetsing door een rechter niet is voorgeschreven, tussenkomst van die rechter (alsnog) verplicht gesteld bij het koppelen van gegevens.

67. Verrest heeft geattendeerd op twee conclusies die zijn genomen nadat Uw Raad prejudiciële vragen heeft gesteld. Hij meent dat de standpunten die in beide conclusies zijn betrokken het HvJ EU mogelijk aanleiding geven tot differentiatie, ‘en het zou de Prokuratuur-voorwaarden mogelijk niet van toepassing doen zijn op de Nederlandse situatie’.

70. Verrest (die naar randnummer 65 verwijst) leidt daar, zo begrijp ik, uit af dat de A-G stelt ‘dat de eisen uit de Prokuratuur-rechtspraak voor het vorderen en gebruiken van telecomgegevens niet van toepassing zijn indien telecomgegevens op andere wijze dan via een bewaarplicht zijn verkregen’. Dat kan ik niet in dit randnummer lezen. De A-G maakt slechts, heel in het kort, duidelijk dat de omstandigheid dat het HvJ EU het creëren van bewaarplichten inzake verkeers- en locatiegegevens aan banden heeft gelegd, zijns inziens niet betekent dat overheidsinstanties alleen bij ernstige strafbare feiten een mobiele telefoon mogen proberen uit te lezen.

71. Inmiddels heeft het HvJ EU arrest gewezen in deze zaak. Daarin zijn de eerste en tweede prejudiciële vraag geherformuleerd tot vragen die betrekking hebben op richtlijn 2016/680 (rov. 81). Het HvJ EU heeft deze vragen aldus beantwoord dat artikel 4, lid 1, onder c, van deze richtlijn, gelezen in het licht van de artikelen 7 en 8 alsmede 52, eerste lid, van het Handvest, zich niet verzet tegen ‘national legal rules which afford the competent authorities the possibility to access data contained in a mobile telephone for the purposes of the prevention, investigation, detection and prosecution of criminal offences in general, provided those rules:

- define with sufficient precision the nature or categories of offences concerned,

- ensure respect for the principle of proportionality, and

- make reliance on that possibility, except in duly justified cases of urgency, subject to prior review by a judge or an independent administrative body.’

72. In de overwegingen waarin het HvJ EU dit antwoord beargumenteert, wordt geen argument ontleend aan richtlijn 2002/58/EG. Steun voor het standpunt dat de voorwaarden van het Prokuratuur-arrest mogelijk niet van toepassing zijn op de Nederlandse situatie kan ik er niet in vinden. Wel blijkt uit het antwoord dat het HvJ EU ook in deze context hecht aan toetsing door een rechter of een onafhankelijke bestuurlijke entiteit. Het gaat daarbij om gegevens die niet op grond van een wettelijke verplichting bewaard zijn.

73. De tweede conclusie die Verrest noemt, is de conclusie van A-G Ćapeta van 26 oktober 2023 in de Strafzaak tegen M.N. (inzake EncroChat). De strafzaak vloeit, aldus de conclusie, voort uit een strafrechtelijk onderzoek dat in Frankrijk is gestart en waarbij ‘locatie-, verkeers- en communicatiegegevens, waaronder teksten en afbeeldingen die in lopende chats van gebruikers van het EncroChat-netwerk werden verzonden, zijn geïntercepteerd’ (randnummer 4). Aan de verdachte in de strafzaak is ‘meervoudige verboden handel in en verboden bezit van verdovende middelen in aanzienlijke hoeveelheden in Duitsland’ ten laste gelegd (randnummer 9). De verwijzende rechter heeft een waslijst aan prejudiciële vragen geformuleerd. Met de eerste vraag, onder c, wenst de verwijzende rechter volgens de A-G te vernemen ‘of het Unierecht, niettegenstaande het toepasselijke nationale recht, vereist dat een rechter toestemming geeft voor de toegang van een officier van justitie tot bewijsmateriaal dat is verkregen door interceptie van communicatie’ (randnummer 87). De verwijzende rechter heeft daarbij in overweging gegeven ‘dat voor het uitvaardigen van een EOB voor de overdracht van bewijsmateriaal dat bestaat uit geïntercepteerde telecommunicatie altijd toestemming van de rechter vereist is’ en daarbij verwezen naar het arrest Prokuratuur (randnummer 88).

74. De A-G attendeert erop dat de EOB-richtlijn ‘de vraag of een officier van justitie een EOB kan uitvaardigen over(laat) aan de nationale rechtsorde’ en dat dit logisch is ‘gezien de verschillen in de organisatie van de strafrechtsstelsels in de lidstaten’ (randnummer 91). Zij stelt vast ‘dat de e-privacyrichtlijn en de desbetreffende rechtspraak niet van toepassing zijn in de onderhavige situatie. Deze richtlijn en rechtspraak zijn alleen relevant wanneer aanbieders van telecommunicatiediensten op grond van nationaal recht verplicht zijn verkeers- en locatiegegevens in verband met telecommunicatie te bewaren en wanneer overheidsinstanties toegang eisen tot de aldus bewaarde gegevens’ (randnummer 93).

75. De A-G bespreekt vervolgens de vraag ‘waarom het Hof heeft geoordeeld dat het openbaar ministerie door de aard van zijn taken niet in staat is om de evenredigheid onpartijdig te beoordelen wanneer het gaat om het verzoeken om toegang tot telecommunicatiegegevens van aanbieders van netwerkdiensten’ (randnummer 94). Zij geeft als antwoord dat de gegevens waartoe een officier van justitie in de context van de e-privacy-richtlijn toegang krijgt, altijd de gegevens zijn ‘die in het bezit zijn van telecommunicatie-exploitanten die krachtens de nationale wetgeving verplicht zijn verkeers- en locatiegegevens van het algemene publiek te bewaren. Bij de gegevens die op die manier worden bewaard, gaat het niet om een specifiek geval, maar veeleer om grootschalig toezicht. Het verzoek om toegang door een officier van justitie in het kader van een concreet strafrechtelijk onderzoek is de eerste gelegenheid waarbij rekening kan worden gehouden met individuele omstandigheden. Daarom was het gerechtvaardigd om beoordeling door de rechter van een dergelijke toegang te eisen. De inschakeling van de rechter is namelijk noodzakelijk om te voorkomen dat misbruik wordt gemaakt van de toegang tot gegevens die op grote schaal en algemeen worden bewaard (randnummer 95).’

76. A-G Ćapeta legt aldus inderdaad een verband tussen de wettelijke verplichting als grondslag voor de bewaring en de inschakeling van de rechter bij de toegang. De A-G legt evenwel niet uit hoe dit standpunt zich verhoudt tot de rechtspraak van het HvJ EU die eerder besproken is. De verklaring daarvoor kan zijn dat het in haar betoog om een zijlijn gaat, en dat zij niet probeert om die rechtspraak bij te stellen. Zij ontleent aan het op grote schaal en algemeen bewaren van gegevens een argument om te verklaren waarom bij die gegevens wel, en bij het EOB geen verplichte inschakeling van een rechter aangewezen zou zijn. Dat op grote schaal bewaren van gegevens doet zich ook voor bij bewaring ten behoeve van facturering, de levering van diensten met toegevoegde waarde of marketing.

77. Daarmee kan ook aan deze conclusie – meen ik – geen steun worden ontleend voor het standpunt dat de toetsing door een rechter of een onafhankelijke bestuurlijke entiteit als voorwaarde voor de toegang tot verkeers- en locatiegegevens, anders dan uitsluitend identificerende gegevens, mogelijk niet van toepassing zou zijn op de Nederlandse situatie.

78. Ik attendeer er daarbij op dat het HvJ EU inmiddels ook in deze zaak arrest heeft gewezen. In dat arrest wordt in verband met de mogelijkheid van bewijsuitsluiting verwezen naar het Prokuratuur-arrest (rov. 105) en bij de vraag of in een strafrechtelijke procedure rekening mag worden gehouden ‘met informatie en bewijzen die in strijd met het Unierecht zijn verkregen’ verwezen naar het arrest La Quadrature du Net I (rov. 128). Voor het overige wordt niet gerefereerd aan (rechtspraak inzake) richtlijn 2002/58/EG.

79. Al met al bevatten de arresten die het HvJ EU na het Prokuratuur-arrest heeft gewezen voor zover ik zie geen aanknopingspunten voor de juistheid van het standpunt dat de omstandigheid dat gegevens niet op grond van wettelijke maatregelen bewaard zijn, aanleiding kan zijn om niet te eisen dat een rechter of een onafhankelijke bestuurlijke entiteit toetst of toegang kan worden verleend tot die gegevens. Die arresten duiden er meer in het algemeen ook niet op dat het HvJ EU een stap terug zou willen doen waar het de verplichte toetsing door een rechter of een onafhankelijke bestuurlijke entiteit betreft.

80. Tegen die achtergrond vormt de mogelijkheid dat het HvJ EU, indien de eerste prejudiciële vraag wordt gehandhaafd, op de houdbaarheid van dit standpunt ingaat, hoewel een vraag naar de juistheid daarvan niet in de letterlijke tekst van de vraag besloten ligt, naar het mij voorkomt geen reden om de eerste prejudiciële vraag te handhaven.

‘Een laatste ontwikkeling die relevant is voor de toepassingscriteria van bevoegdheden betreft de rechtspraak van het Hof van Justitie van de Europese Unie. In maart 2021 wees het Hof van Justitie het Prokuratuur-arrest (HvJ 2 maart 2021, C-746/18, ECLI:EU:C:2021:152). In het Prokuratuur-arrest oordeelde het Hof van Justitie dat het EU-recht zich verzet tegen een nationale regeling die het openbaar ministerie, dat tot taak heeft de strafprocedure in te leiden en, in voorkomend geval, in een latere procedure op te treden als openbaar aanklager, de bevoegdheid toekent om te beslissen over de toegang tot verkeers- en locatiegegevens, voor zover daaruit precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Het Hof van Justitie oordeelde dat de toegang van de bevoegde nationale instanties tot de bewaarde gegevens moet worden onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit.

Zowel in de huidige als in de nieuwe regeling over het vorderen van verkeers- en locatiegegevens (artikel 126n e.v. respectievelijk artikel 2.7.45 e.v.) kan de officier van justitie onder bepaalde voorwaarden bevelen dat verkeers- en locatiegegevens worden verstrekt, zonder dat in die regeling is voorgeschreven dat hij daartoe een voorafgaande machtiging van de rechter-commissaris behoeft.

Het Prokuratuur-arrest is belangrijk voor de Nederlandse strafrechtspraktijk, maar de gevolgen van dat arrest zijn op diverse punten nog onzeker. Dat blijkt ook uit de (omvangrijke) prejudiciële vragen die naar aanleiding van het Prokuratuur-arrest door de Hoge Raad alsmede door rechters uit andere lidstaten aan het Hof van Justitie zijn gesteld (C-241/22; C-548/21; C-178/22; en C-162/22). De rechtspraak van het Hof van Justitie is onvoldoende uitgekristalliseerd om deze samenhangend in de wettelijke bepalingen van specifieke bevoegdheden te codificeren. Om deze reden wacht de regering verdere rechtspraak af alvorens (zo nodig) een voorstel tot een dergelijke codificatie wordt gedaan. Wel is het wenselijk om in het nieuwe wetboek een vangnetbepaling op te nemen. Uit de rechtspraak van de Hoge Raad volgt dat in het stelsel van het huidige wetboek ligt besloten dat de officier van justitie ook een machtiging van de rechter-commissaris kan vorderen tot het uitoefenen van een bepaalde bevoegdheid indien de wettelijke bepaling waarin die bevoegdheid is neergelegd, geen voorafgaande machtiging van de rechter-commissaris voorschrijft (ECLI:NL:HR:2022:475). Het is wenselijk dat deze machtigingsmogelijkheid in het nieuwe wetboek wordt gecodificeerd. Deze bepaling biedt een wettelijke grondslag om in gevallen als ontstaan naar aanleiding van het Prokuratuur-arrest de rechter-commissaris te betrekken. In de toelichting op artikel 2.1.7 wordt deze vangnetbepaling nader toegelicht.’

82. De vragen waarvoor de rechtspraak van het HvJ EU de wetgever ook in verband met het nieuwe wetboek stelt, kunnen voor zover ik zie evenwel niet dan wel slechts in beperkte mate worden weggenomen door een antwoord op de eerste prejudiciële vraag. Ik neem daarbij, in aanvulling op het voorgaande, in aanmerking dat richtlijn (EU) 2016/680 heel in het algemeen regels vaststelt ‘betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten’. En dat de lidstaten overeenkomstig deze richtlijn de verplichting hebben ‘de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen’ (artikel 1).

83. Het HvJ EU heeft in het arrest La Quadrature du Net I overwogen: ‘Wanneer de lidstaten (…) rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatiediensten, wordt de bescherming van de gegevens van de betrokken personen niet beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn (EU) 2016/680’ (rov. 103). Waar richtlijn 2002/58/EG niet van toepassing is, kan richtlijn (EU) 2016/680 derhalve een rol spelen. Uit het arrest Landeck blijkt dat het HvJ EU ook bij toepasselijkheid van richtlijn (EU) 2016/680 toetsing door de rechter of een onafhankelijke bestuurlijke entiteit onder omstandigheden noodzakelijk oordeelt. Vooral het onvoldoende uitgekristalliseerd zijn van dit toetsingsvereiste stelt de wetgever voor lastige vragen, gelet op de ruime reikwijdte die richtlijn (EU) 2016/680 ingevolge artikel 1 heeft.

84. Maar hoe dat ook zij, naar het mij voorkomt is er niet sprake van zodanige onduidelijkheid over het antwoord op de eerste prejudiciële vraag dat zulks het handhaven van die vraag kan rechtvaardigen.

85. Al met al meen ik dat ook de eerste prejudiciële vraag kan worden ingetrokken.

87. In het voorgaande liggen, meen ik, de gegevens besloten die voor een beslissing door Uw Raad noodzakelijk zijn. Die gegevens leiden niet tot de conclusie dat het middel dient te slagen. Uitsluitend om een beslissing op de door het middel aan de orde gestelde rechtsvraag te verkrijgen, vorder ik dat Uw Raad de bestreden beschikking in het belang der wet zal vernietigen.

88. Samenvattend geef ik Uw Raad in overweging de drie prejudiciële vragen in te trekken en vorder ik, in het geval Uw Raad daartoe overgaat, de bestreden beschikking in het belang der wet te vernietigen.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG