Analyse af Justitsministeriets lovskitse til revision af logningsreglerne (marts 2021)
Justitsminister Nick Hækkerup har den 24. marts 2021 fremlagt en skitse til en revision af de danske logningsregler. De nuværende logningsregler er baseret på en generel og udifferentieret lagringspligt (masseovervågning), som er i strid med EU-retten. Det har været kendt længe.
I Jyllands-Posten den 23. marts 2021 klager Nick Hækkerup over, at regeringen er tvunget til at rette ind efter en EU-dom (altså stoppe den ulovlige overvågning). Nick Hækkerup er sågar citeret for at sige, at EU-Domstolen har givet en håndsrækning til forbryderne. På den baggrund vil mange læsere sikkert tro, at nu begrænser regeringen langt om længe masseovervågningen af den danske befolkning, således at borgernes grundlæggende rettigheder til privatliv og databeskyttelse i EU-Charteret bliver respekteret.
En nærlæsning af den offentliggjorte skitse viser imidlertid, at det på ingen måde er tilfældet. Hvis forslaget gennemføres i den skitserede form vil teleselskaberne blive pålagt at gemme endnu flere oplysninger om borgerne. Politiet vil endvidere få lettere adgang til endnu flere følsomme oplysninger om borgerne private liv, selv om Nick Hækkerup med sin klagesang rettet mod EU-Domstolen prøver at give befolkningen det modsatte indtryk.
Justitsministeriet er selv klar over, at det er yderst tvivlsomt om den foreslåede logningsordning overhovedet er lovlig. Der er således i skitsedokumentet indsat et kraftigt forbehold om, at forslaget medfører en ”væsentlig procesrisiko”, altså at centrale dele i nye logningsordning med stor sandsynlighed vil blive underkendt ved domstolene om nogle år (ligesom den nuværende). Væsentlig procesrisiko er en formulering som regeringen bruger meget sjældent over for Folketinget.
Som det ofte er tilfældet med logning og EU-retten ligger djævlen i detaljen. Det gælder også i denne sag, men den simple udgave af forklaringen nedenfor er, at Justitsministeriet ændrer et par ord i lovteksten og viderefører den nuværende ulovlige masseovervågning som om intet var hændt, på trods af mindst to klare domme fra EU-domstolen (Tele2-dommen i december 2016 og LQDN-dommen i oktober 2020) om at masseovervågningen skal stoppes eller begrænses.
Logning til beskyttelse af den nationale sikkerhed
I LQDN-dommen fastslår EU-Domstolen, at EU-retten ikke er til hinder for en generel og udifferentieret lagringspligt for trafik- og lokaliseringsdata med henblik på beskyttelse af den nationale sikkerhed i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig. En domstol skal med en effektiv prøvelse kontrollere at der foreligger en sådan situation. EU-Domstolen understreger at logningen ikke må have systematisk karakter (det må kun være for en begrænset periode, ikke permanent som den nuværende logningsbekendtgørelse).
At beskyttelse af den nationale sikkerhed under visse omstændigheder giver mulighed for at pålægge teleudbydere en generel og udifferentieret lagringspligt er ikke i modstrid med Tele2-dommen. Hensynet til at beskytte den nationale sikkerhed mod trusler der, med EU-Domstolens ord, ”kan destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer” kan retfærdiggøre et mere alvorligt indgreb i grundlæggende rettigheder end hensynet til kriminalitetsbekæmpelse. I forhold til kriminalitetsbekæmpelse fastholdes LQDN-dommen retspraksis fra Tele2-dommen, altså at EU-retten kun tillader en målrettet logningspligt af trafik- og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet.
Når LQDN-dommen tillader en generel og udifferentieret logningspligt af hensyn til den nationale sikkerhed, men kun målrettet logning for bekæmpelse af grov kriminalitet, bliver spørgsmålet om adgang til de loggede oplysninger kritisk. Hvis de oplysninger som er lagret med henblik på at beskytte den nationale sikkerhed efterfølgende kan anvendes i politiets sager om grov kriminalitet, vil hele grundlaget for Tele2-dommen blive fuldstændigt undergravet. Det kan umuligt have været EU-Domstolens hensigt i LQDN-dommen, når der i forhold til national sikkerhed og bekæmpelse af grov kriminalitet (af forståelige grunde) foretages forskellige proportionalitetsafvejninger.
I præmis 166 af LQDN-dommen siger EU-Domstolen, at adgangen til lagrede oplysninger kun kan begrundes i det mål almen interesse, som har givet anledning til lagringspligten, eller et mere tungtvejende hensyn. Det må betyde, at hvis oplysninger er lagret med henblik på bekæmpelse af grov kriminalitet, kan der gives adgang til oplysningerne i sager om grov kriminalitet eller for at beskytte den nationale sikkerhed (et mere tungtvejende hensyn). Hvis oplysningerne derimod er lagret med henblik på beskyttelse af den nationale sikkerhed, kan myndighederne kun få udleveret oplysningerne i sager om national sikkerhed. I en dom fra marts 2021 har EU-Domstolen gentaget dette princip om en klar formålsbegrænsning mellem lagringspligten og den efterfølgende adgang (præmis 31 i C-746/18 Prokuratuur; EDRi-gram analyse her).
Justitsministeriet mener imidlertid, at LQDN-dommen kan fortolkes på en sådan måde, at der godt kan gives adgang til de lagrede oplysninger i sager om grov kriminalitet. Det er meget svært at forstå, fordi de pågældende oplysninger (om hele befolkningen) kun er lagret på grund af en alvorlig trussel mod den nationale sikkerhed. Hensynet til bekæmpelse af grov kriminalitet kan ikke begrunde, at der lagres oplysninger om en hel befolknings sociale kontakter og bevægelsesmønstre i det offentlige rum (trafik- og lokaliseringsdata).
Konsekvensen af Justitsministeriets fortolkning, der ligesom i 2014 lader tvivlen komme masseovervågningen til gode, er at den nuværende logning kan fortsætte nærmest uændret (eller endda i udvidet form), selv om den primært bruges til kriminalitetsbekæmpelse, hvor EU-Domstolen i Tele2-sagen ellers meget klart har sagt, at en sådan masseovervågning er i strid med EU-retten. I den forbindelse er det værd at erindre, at Justitsministeriets fortolkning af 2014-dommen om logningsdirektivet var forkert. Det blev klart med Tele2-dommen i 2016.
Denne gang giver Justitsministeriet trods alt et kraftigt forbehold for sin egen fortolkning:
Det vurderes således – dog under en væsentlig procesrisiko i lyset af præmis 166 i logningsdommen – at dommen ikke er til hinder for, at medlemsstaterne kan give politi og anklagemyndighed adgang til lagrede trafik- og lokaliseringsdata, der er lagret med henblik på at beskytte den nationale sikkerhed, i de tilfælde, hvor politi og anklagemyndighed bekæmper grov kriminalitet.
Det meget usædvanlige forbehold om væsentlig procesrisiko betyder, at Justitsministeriet er klar over, at den skitserede logningsordning vil have en ganske betydelig risiko for at blive underkendt af EU-Domstolen. Det må i øvrigt være den eneste rimelige konklusion, når der som i det skitserede forslag er tale om en åbenlys omgåelse af Tele2-dommen.
Konsekvenser af Justitsministeriets skitserede forslag
Opsummering: først bruges argumentet om en alvorlig trussel mod den national sikkerhed til at retfærdiggøre en generel og udifferentieret logning. Derefter anlægges en meget tvivlsom fortolkning af præmis 166 i LQDN-dommen, som giver adgang til disse oplysninger i alle sager om grov kriminalitet. Kombinationen af de to elementer er en de facto videreførelse af den nuværende logningsordning.
Fordi beskyttelse af den nationale sikkerhed (under visse forudsætninger, som af pladshensyn ikke vil blive vurderet i denne analyse) giver mulighed for en generel og udifferentieret logningspligt, foreslår Justitsministeriet endda en række markante udvidelser af logningen:
- Masteoplysninger for ikke-aktive mobiltelefoner. Det vil indebære en meget omfattende registrering, fx hvert femte minut, af hvilken mast en mobiltelefon er tilknyttet med en lagringsperiode på et år, uanset om mobiltelefonen benyttes aktivt eller ej. Hele befolkningens bevægelsesmønstre, opholdssteder og frekventering af sociale miljøer vil blive minutiøst registreret døgnet rundt.
- Logning af source-porte for internettrafik med CG-NAT (dog uden sessionslogning, se her for en teknisk forklaring).
- Mulig udvidelse af logningsreglerne til nye kommunikationsformer (ikke nærmere specificeret).
- Registrering af MAC adresser på de computere brugerne ejer og anvender (det er ikke oplysninger som en internetudbyder har mulighed for at registrere, så det er meget uklart hvad Justitsministeriet foreslår på dette punkt).
De fleste af disse udvidelser af logningen var allerede på bordet i efteråret 2016, men derefter kom Tele2-dommen som satte processen med revision af logningsreglerne (der skulle have været en udvidelse i 2016) på pause.
Derudover foreslås en obligatorisk registrering af identitetsoplysninger for brugere af taletidskort. Det er et projekt, som en arbejdsgruppe under Justitsministeriet har overvejet i 15 år. Hvorfor det tages frem af skuffen nu er uklart.
Målrettet logning
Justitsministeriet skitserer i afsnit 4 en målrettet logningsordning med henblik på bekæmpelse af grov kriminalitet. Det er et positivt element i den skitserede revision, fordi EU-Domstolen i både Tele2-dommen og LQDN-dommen klart har fastslået, at EU-retten kun tillader en målrettet lagringspligt (logning) for trafik- og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet.
Kriterierne for målrettet logning er geografiske områder med forhøjet risiko for grov kriminalitet og en personkreds, hvor objektive kriterier kan afsløre en forbindelse til grov kriminalitet. Umiddelbart synes Justitsministeriets kriterier for målrettet logning at være relativt brede, dvs. at et relativt stort antal personer kan blive omfattet (uden at det er hele befolkningen). Af pladshensyn vil det punkt ikke blive nærmere vurderet i denne analyse.
Den målrettede logning kan omfatte de samme datatyper som §§ 4-6 i den nuværende logningsbekendtgørelse med de udvidelser som er skitseret oven for. Lagringsperioden vil være op til et år, ligesom for den skitserede logning til beskyttelse af national sikkerhed.
Hvis Justitsministeriet mener, at der kan logges oplysninger om alle borgere til national sikkerhed, som derefter tillige kan bruges til bekæmpelse af grov kriminalitet (omend med forbehold om en væsentlig procesrisiko), vil den skitserede målrettede logningspligt reelt ikke give politiet nye muligheder. Oplysninger, som søges logget målrettet, bliver allerede logget til national sikkerhed med mulighed for adgang i sager om grov kriminalitet (efter Justitsministeriets fortolkning af LQDN-dommen).
Hvorfor så overhovedet have en målrettet logningsordning, når Justitsministeriet mener at den nuværende generelle og udifferentierede logningsordning reelt kan videreføres? En begrundelse kan selvfølgelig være, at den målrettede logning holdes i reserve, hvis en domstol en dag skulle underkende Justitsministeriets tvivlsomme fortolkning af præmis 166 i LQDN-dommen. Men det er bestemt ikke det indtryk som læseren får af afsnit 4, der præsenteres som en målretning af logningen til kriminalitetsbekæmpelse for at tilpasse dansk lovgivning til Tele2-dommen (fra masseovervågning til målrettet overvågning).
Det er også relevante at spørge hvorfor forslaget i afsnit 4 om en målrettet logningsordning ikke kunne være præsenteret i 2017 efter Tele2-dommen? Justitsministeriet har i fire år udsat logningsrevisionen og undskyldt sig med, at det var meget kompliceret at tilpasse de danske logningsregler til Tele2-dommen med en målrettet logning. Men forslaget i afsnit 4 på omkring 10 sider virker altså ikke specielt kompliceret. Den målrettede logning er baseret på kriterier om personkreds og geografisk område, som fremgår af både Tele2-dommen og LQDN-dommen. EU-Domstolen giver lidt flere eksempler og vejledning i LQDN-dommen, men forskellen er ikke væsentlig, og Justitsministeriets skitse for målrettet logning synes under alle omstændigheder at være mere omfattende end hvad begge domme synes at lægge op til for målrettet logning.
Den mest nærliggende forklaring er, at et forslag om målrettet logning i 2017 ville have erstattet den generelle og udifferentierede logning (nuværende logningsbekendtgørelse), mens målrettet logning i det nuværende forslag reelt ikke indebærer nogen begrænsning af masseovervågningen, så længe der kan logges for alle personer til national sikkerhed med fuld adgang i sager om grov kriminalitet.
Adgang til de lagrede oplysninger
Retsplejelovens regler for politiets adgang til trafik- og lokaliseringsdata hos teleudbydere er tidsmæssigt fra før e-databeskyttelsesdirektivet 2002/58/EF. EU-Domstolen har siden 2014 afsagt en række domme, som gør det klart at de danske retsregler om udlevering af trafik- og lokaliseringsdata til politiet på en række punkter ikke lever op til EU-rettens krav.
Under de nuværende danske retsregler skelnes der mellem masteoplysninger og teleoplysninger, der i retsplejeloven er defineret som opkaldslister (opkaldte nummer, tidspunkt, og længde af opkaldet). For masteoplysninger er en editionskendelse tilstrækkelig, dvs. politiet har adgang i alle sager undergivet offentlig påtale. For teleoplysninger skal kravene til indgreb i meddelelseshemmeligheden (retsplejelovens kapitel 71) tillige være opfyldt.
EU-Domstolens retspraksis med fortolkning af e-databeskyttelsesdirektivet i lyset af Charter om Grundlæggende Rettigheder kræver imidlertid, at der kun kan gives adgang til trafik- og lokaliseringsdata i sager om grov kriminalitet. Retsplejeloven giver derimod mulighed for adgang til lokaliseringsdata i sager om almindelig kriminalitet, hvilket er i åbenlys strid med EU-retten. EU-Domstolens retspraksis kræver desuden underretning af abonnenten, når denne underretning ikke længere kan forstyrre politiets efterforskning, og at der som hovedregel kun kan gives adgang til oplysninger for mistænkte personer. Retsplejelovens bestemmelser overholder generelt ikke disse krav.
I afsnit 7.3 lægger Justitsministeriet op til, at retsplejelovens regler om politiets adgang til trafik- og lokaliseringsdata skal revideres sammen med bestemmelserne om omfanget af logningspligten. Det er naturligvis positivt at Justitsministeriet vil foreslå denne lovændring, men det kommer meget sent i forhold til at Justitsministeriet siden 2014 (altså i syv år) har været klar over, at EU-retten kun tillader adgang til lokaliseringsdata i sager om grov kriminalitet. I Justitsministeriets redegørelse af 2. juni 2014 efter EU-dommen om logningsdirektivet fremgår det af fodnote 3, at retsplejelovens editionsregler ikke overholder EU-retten for så vidt angår adgangen til visse loggede oplysninger (bl.a. lokaliseringsdata).
Med Justitsministeriets fortolkning om at logning til national sikkerhed også kan bruges til sager om grov kriminalitet, er den skitserede ændring vedrørende adgangen til historiske masteoplysninger i sager om almindelig kriminalitet det eneste punkt, hvor Justitsministeriet lægger op til en egentlig begrænsning på politiets muligheder for at få adgang til følsomme oplysninger om borgernes sociale relationer og færden i det fysiske rum (trafik- og lokaliseringsdata). Nødvendigheden af denne ændring har stået klart siden juli 2014, men er blevet udskudt år efter år ligesom revisionen af logningsbekendtgørelsen.
Og selv denne nødvendige tilpasning af dansk lov for at respektere grundlæggende rettigheder, fundamentet for den europæiske retsstat, kommer ikke uden ”modydelse” i form af nye indgreb i borgernes ret til privatliv og databeskyttelse. Justitsministeriet overvejer på side 71 at ændre definitionen af grov kriminalitet med et lempeligere kriminalitetskrav. Det vil betyde, at politiet kan få adgang til trafik- og lokaliseringsdata i flere sager, fordi tærsklen for hvad der er grov kriminalitet sænkes.
En række domme fra EU-Domstolen siden 2014 har gjort det klart, at politiets adgang til sådanne oplysninger (hvis de altså overhovedet skal lagres) skal begrænses. Alligevel lægger Justitsministeriet op til at adgangen på nogle punkter faktisk skal udvides. Ironisk nok begrundes ønsket om en udvidet adgang med at ”lagringen af data vil ske mere målrettet”, hvilket er decideret forkert i det skitserede forslag. Som nævnt ovenfor opretholdes den nuværende generelle og udifferentierede logning til national sikkerhed med indbygget omgåelse af Tele2-dommen, så der gives adgang til lagrede oplysninger om hele befolkningen i sager om grov kriminalitet.
Pressekontakt
Jesper Lund
Formand, IT-Politisk Forening
Email: jesper@itpol.dk