Alle danskere bliver overvåget i strid med deres rettigheder (i hvert fald ifølge EU)

DATAOPSAMLINGAlle danskere, som anvender en mobiltelefon, får logget sms'er, opkald og lokaliseringsdata. Foto: Dado Ruvic / Scanpix

Derfor skal du læse denne artikel

EU-Domstolen har trukket en grænse for, hvor omfattende digital overvågning Europas borgere må udsættes for. Dommen vil både få konsekvenser for de danske logningsregler og regeringens planer om også at opsamle danskernes internettrafik.

EUs medlemsstater opsuge samtlige borgeres tele- og internetdata om, hvem de har kommunikeret med, og hvor de har færdedes?

Nej” var svaret fra EU-Domstolen i en ny og vidtrækkende dom – der meget vel kan betyde, at den nuværende registrering af danske borgeres kommunikation sker i strid med unionens charter om grundlæggende rettigheder.

Dommen skriver sig ind i en langvarig strid om elektronisk registrering på det europæiske kontinent. Kernen i spørgsmålet er, i hvilket omfang en hel befolkning kan – eller bør – overvåges elektronisk af hensyn til at forebygge eller opklare eventuelle forbrydelser. For at forstå betydningen af den aktuelle dom, er vi nødt til at skrue tiden nogle år tilbage:

Tilbage i 2014 erklærede domstolen EUs såkaldte logningsdirektiv for ugyldigt. Direktivet forpligtede alle medlemsstater til at pålægge teleudbydere at logge samtlige deres brugeres tele- og lokaliseringsdata i en periode på minimum seks måneder, hvilket – populært sagt – gav de nationale myndigheder mulighed for at rejse tilbage i tiden” og se, hvem en given person kommunikerede med og hvor længe, samt hvor en person fysisk opholdt sig (fordi en telefon logger sig på en telemast, hvis geografiske placering man så kan fastslå). I Danmark blev disse regler udvidet til også at omfatte internetdata – den såkaldte sessionslogning.

Selv om EU-Domstolens dom i 2014 ophævede det direktiv, der lå til grund for de danske regler, valgte den daværende justitsminister Karen Hækkerup alene at sløjfe det udvidede danske krav om sessionslogning. Hun gjorde det uden henvisning til borgernes rettigheder, men med den begrundelse, at sessionslogning havde vist sig ineffektiv på grund af tekniske problemer.

Med andre ord fastholdt Danmark altså, at de øvrige danske logningsregler var forenelige med EU-rettens privatlivs- og persondatabeskyttelse. Det skyldtes, at man – med lidt god vilje – kunne fortolke EU-Domstolens dom fra 2014 på flere måder. Herunder, at Danmark og de andre medlemslande godt kunne fortsætte med at logge borgeres kommunikationsdata, såfremt der var tilstrækkelige efterfølgende retssikkerhedsgarantier, at begrænse politiets adgang til de loggede data, sådan at adgang forudsætter en retskendelse. Det betyder, at loggede data alene kan anvendes i sager om relativt alvorlige forbrydelser.

Denne fortolkning var dog temmelig tvivlsom. Justitia (den uafhængige tænketank, som jeg står i spidsen for) og andre aktører har hele tiden fastholdt, at EU-Domstolens dom fra 2014 gav mest mening, hvis man forstod den sådan, at EUs databeskyttelsesdirektiv og charter om grundlæggende rettigheder helt udelukker masseindsamling af kommunikationsdata.

Bonusinfo. Det var, da Folketinget vedtog terrorpakke 1 i 2002, at man tilføjede en hjemmel til at udstede logningsregler i retsplejeloven.

Netop denne fortolkning – at logning af en hel befolkning er uacceptabelt  – synes at være, hvad EU-Domstolen har lagt til grund i den nye dom. I en række afgørende præmisser skriver dommerne i Luxembourg, at en national lovgivning, der omfatter alle abonnenter og registrerede brugere generelt, og som er rettet mod alle elektroniske kommunikationsmidler og samtlige trafikdata”, og som omfatter en borger uden at disse personer – end ikke indirekte – befinder sig i en situation, der vil kunne give anledning til strafferetlig forfølgning”, ja, så er der ifølge domstolen ikke balance mellem den indsamlede data og den trussel mod den offentlige sikkerhed, som indsamlingen vedrører.

Konklusionen er forbilledlig klar: EU-retten er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation”.

På den baggrund er det svært at konkludere andet, end at de danske logningsregler i deres nuværende form er i strid med EU-retten, eftersom du og jeg, vores børn og bedsteforældre, ja alle danskere, der anvender en mobiltelefon, får logget deres sms’er, opkald og lokaliseringsdata. Det sker, på trods af at de loggede data i 99,99 procents tilfælde ingen relevans har for efterforskning af alvorlig kriminalitet.

Det var netop det udfald, den danske regering frygtede. Derfor havde Danmark sammen med en række andre EU-lande afgivet et indlæg i sagen til støtte for den (belejlige) fortolkning om, at masseindsamling af kommunikationsdata er lovligt, hvis de er omfattet af passende retssikkerhedsgarantier. EU-Domstolen sad indvendingen overhørig.

Bonusinfo. Efter EU-Domstolen erklærede EU’s logningsdirektiv for ugyldigt, har de nationale domstole i blandt andet Østrig, Holland, Belgien Rumænien og Slovenien erklæret landenes respektive logningsregler for ugyldige.

Men hvad så nu? Politi- og efterretningstjenester har helt oplagt en vigtig interesse i at besidde effektive teknologiske redskaber, der kan lette opgaven med at forhindre og opklare alvorlig kriminalitet. Hensynet bliver ikke mindre af, at vi befinder os i en terrortid og i en situation, hvor bander og rockergrupperinger udkæmper væbnede konflikter i danske byer.

EU-Domstolens afgørelse betyder da heller ikke, at al indsamling af kommunikations- og lokaliseringsdata er ulovlig. EU-Domstolen slår eksplicit fast, at EU-retten ikke er til hinder for målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet”. Nøgleordet er selvfølgelig målrettet. Domstolen taler om at begrænse lagringen til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen”.

Med andre ord: en målrettet og afgrænset logning. Det er helt i overensstemmelse med den anbefaling Justitia ved flere lejligheder har fremsat over for successive regeringer og folketingspolitikere.

En sådan model vil betyde, at der alene kan foretages logning af persondata vedrørende konkrete personer, som politiet formoder, er involveret i alvorlig kriminalitet.

En sådan ordning vil kunne omfatte personer, som er blevet radikaliseret og færdes i ekstremistiske miljøer, men hvor der ikke foreligger en konkret mistanke om eksempelvis terrorplaner. Også personer, der er medlemmer af eller færdes i rockerbander, men endnu ikke er omfattet af en konkret mistanke, vil kunne omfattes.

Logning ville ikke kunne foretages alene på grund af politisk aktivitet, religiøs overbevisning, etnicitet eller herkomst, ligesom Datatilsynet og Tilsynet med Efterretningstjenesterne bør foretage kontrol.

En sådan ordning ville reducere omfanget af personer, hvis data logges, fra millioner til hundreder eller tusinder og de loggede data fra hundreder af milliarder til en brøkdel deraf – hvilket i sig selv vil reducere risikoen for misbrug.

En afgrænset logningsmodel vil styrke retssikkerheden. Men den medfører også den risiko, at politi og efterretningstjenester går glip af afgørende oplysninger.

I Frankrig, der sandsynligvis er det europæiske land, der er udsat for den alvorligste terrortrussel, har det regeringsrådgivende Conseil d’État i en rapport konkluderet, at en afgrænset logningsmodel vil være langt mindre effektiv end den systematiske lagring, fordi den forhindrer retrospektiv adgang til udvekslinger, der har fundet sted, inden myndigheden opdagede, at der forelå en trussel eller en lovovertrædelse”.

Forestiller man sig eksempelvis, at gerningsmanden fra terrorangrebet i Berlin havde tabt sin mobiltelefon i førerhuset på lastbilen, ville man kun kunne få adgang til denne telefons trafik- og kommunikationsdata – og dermed oplysninger om potentielle medskyldige i en eventuel terrorcelle. Med målrettet logning vil det kun kunne lade sig gøre, hvis man på forhånd havde en formodning om, at den pågældende var involveret i terrorisme.

I terrorsager vil det rent faktisk ofte være tilfældet, at efterretningstjenesterne på forhånd ved, hvem der er radikaliserede. I sager om eksempelvis drab og kidnapninger vil en afgrænset logningsmodel sandsynligvis få negative konsekvenser for politiet.

Eksempelvis har politiet i den aktuelle mordsag om 17-årige Emilie Meng anvendt lokaliseringsdata for at finde ud af, hvem der opholdt sig eller kommunikerede på det sted, hvor Emilie Mengs lig blev fundet. Havde morderen sin telefon tændt, mens han udførte drabet eller bortskaffede liget, ville politiet have mulighed for at indsnævre listen af mistænkte og bruge de relevante data som bevis i en eventuel straffesag. Med en afgrænset logningsordning vil dette som udgangspunkt ikke være muligt, hvilket selvsagt vil være et tilbageslag for politiet (og svært at forklare for den almindelige dansker).

Men det er disse hensyn, EU-Domstolen har vejet op mod hinanden og fundet, at respekten for privatlivet og persondatabeskyttelse vejer tungest.

Nu er det op til den danske regering at reagere. Op til jul afviste Justitsministeriet at udtale sig til Information om dommens rækkevidde, før den er nærstuderet”. Men I V-LA-K-regeringsgrundlaget står der, at man vil fremlægge nye regler om logning, der målrettet skal styrke politiets muligheder for at opklare kriminalitet”. De nye regler kommer givetvis til at være en hel del mere målrettede, end regeringen havde håbet på.

Ved du, hvorfor Zetland findes?

Vi følger otte enkle principper, der hjælper med at skabe plads til fordybelse og omtanke i en verden, der mangler præcis dét.

– Lea Korsgaard, medstifter og chefredaktør

I dag læser vores medlemmer: