1

Irland har yrkat att domstolen ska ogiltigförklara Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, s. 54), på den grunden att det inte har antagits med stöd av en korrekt rättslig grund.

2

I Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31) fastställs regler för behandling av personuppgifter, vilka syftar till att skydda fysiska personers rättigheter i detta avseende, samtidigt som det fria flödet av personuppgifter inom Europeiska gemenskapen garanteras.

3

I artikel 3.2 i direktiv 95/46 föreskrivs följande:

”Detta direktiv gäller inte för sådan behandling av personuppgifter

4

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation (EGT L 201, s. 37)) antogs för att komplettera direktiv 95/46 med särskilda bestämmelser för telekommunikationssektorn.

5

Artikel 6.1 i direktiv 2002/58 har följande lydelse:

”Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.”

6

I artikel 15.1 i direktivet föreskrivs följande:

”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

7

Skälen 5–11 i direktiv 2006/24 har följande lydelse:

8

Skäl 21 i direktivet har följande lydelse:

”Eftersom målen med detta direktiv, nämligen att harmonisera leverantörernas skyldighet att lagra vissa uppgifter och säkerställa att de är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför på grund av detta direktivs omfattning och verkningar bättre kan uppnås på gemenskapsnivå, får gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i [EG-]fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.”

9

Skäl 25 i direktivet har följande lydelse:

”Detta direktiv påverkar inte medlemsstaternas befogenhet att anta lagstiftningsåtgärder om rätten till tillgång till och användning av uppgifter för de nationella myndigheter de utsett. Frågor om tillgång till de uppgifter som nationella myndigheter lagrar i enlighet med detta direktiv för de verksamheter som avses i artikel 3.2 första ledet i direktiv 95/46/EG faller utanför tillämpningsområdet för gemenskapens lagstiftning. De kan emellertid omfattas av nationell lagstiftning eller nationella åtgärder i enlighet med avdelning VI i fördraget om Europeiska unionen. Sådana lagar eller åtgärder måste till fullo respektera de grundläggande rättigheter som följer av medlemsstaternas gemensamma författningsmässiga traditioner och som är garanterade i [Europakonventionen] …”

10

I artikel 1.1 i direktiv 2006/24 föreskrivs följande:

”Syftet med detta direktiv är att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen.”

11

I artikel 3.1 i direktivet föreskrivs följande:

”Genom avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58/EG skall medlemsstaterna anta åtgärder för att säkerställa lagring enligt bestämmelserna i det här direktivet av de uppgifter som specificeras i artikel 5 i detta, i den utsträckning som de genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium i samband med att leverantörerna levererar de kommunikationstjänster som berörs.”

12

I artikel 4 i direktivet föreskrivs följande:

”Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt [Europakonventionen], i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter.”

13

Artikel 5 i direktiv 2006/24 har följande lydelse:

”1.   Medlemsstaterna skall säkerställa att följande kategorier av uppgifter lagras i enlighet med direktivet:

2.   Inga uppgifter som avslöjar kommunikationens innehåll får lagras i enlighet med detta direktiv.”

14

I artikel 6 i direktivet föreskrivs följande:

”Medlemsstaterna skall säkerställa att de kategorier av uppgifter som anges i artikel 5 lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.”

15

I artikel 7 i direktivet föreskrivs följande:

”Utan att det påverkar tillämpningen av de bestämmelser som antagits i enlighet med direktiv 95/46/EG och direktiv 2002/58/EG skall varje medlemsstat säkerställa att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät som ett minimum respekterar följande principer för datasäkerhet när det gäller uppgifter som lagras i enlighet med det här direktivet:

…”

16

Artikel 8 i direktiv 2006/24 har följande lydelse:

”Medlemsstaterna skall säkerställa att uppgifter som anges i artikel 5 lagras i enlighet med detta direktiv på ett sådant sätt att uppgifterna och annan nödvändig information som är relaterad till uppgifterna utan dröjsmål kan överföras till de behöriga myndigheterna när de begär det.”

17

Artikel 11 i direktivet har följande lydelse:

”I artikel 15 i direktiv 2002/58/EG skall följande punkt införas:

’1a.   Punkt 1 skall inte tillämpas på uppgifter som specifikt skall lagras enligt [direktiv 2006/24] för de ändamål som avses i artikel 1.1 i det direktivet.’”

18

Den 28 april 2004 framlades på initiativ av Republiken Frankrike, Irland, Konungariket Sverige och Förenade konungariket Storbritannien och Nordirland vid Europeiska unionens råd ett förslag till rambeslut med stöd av artiklarna 31.1 c EU och 34.2 b EU. Syftet med förslaget var bevarande av personuppgifter som behandlats och lagrats vid tillhandahållande till allmänheten av elektroniska kommunikationstjänster eller uppgifter som överförts via allmänna kommunikationsnät, i syfte att förebygga, utreda, avslöja och åtala brott, inklusive terrorism (rådsdokument 8958/04).

19

Europeiska gemenskapernas kommission godtog den rättsliga grund som använts i förslaget till rambeslut, vad avser en del av förslaget. Kommissionen påpekade särskilt att en rättsakt som har sin grund i EU-fördraget, enligt artikel 47 EU inte får inverka på gemenskapens regelverk, i förevarande fall direktiven 95/46 och 2002/58. Kommissionen ansåg att frågan om vilka uppgiftskategorier som ska bevaras och hur lång lagringstiden ska vara omfattas av gemenskapslagstiftarens behörighet och förbehöll sig rätten att utarbeta ett förslag till direktiv.

20

Den 21 september 2005 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58 (KOM(2005) 438 slutlig), med artikel 95 EG som grund.

21

Vid sitt möte den 1 och den 2 december 2005 valde rådet att förorda ett direktiv med rättslig grund i EG-fördraget i stället för att fullfölja antagandet av ett rambeslut.

22

Den 14 december 2005 yttrade sig Europaparlamentet i enlighet med medbeslutandeförfarandet i artikel 251 EG.

23

Vid sitt möte den 21 februari 2006 antog rådet direktiv 2006/24 med kvalificerad majoritet. Irland och Republiken Slovakien röstade emot.

24

Irland har yrkat att domstolen ska

25

Parlamentet har yrkat att domstolen ska

26

Rådet har yrkat att domstolen ska

27

Genom beslut av domstolens ordförande den 1 februari 2007 tilläts Republiken Slovakien att intervenera till stöd för Irlands yrkanden, och Konungariket Spanien, Konungariket Nederländerna, kommissionen och Europeiska datatillsynsmannen att intervenera till stöd för parlamentets och rådets yrkanden.

28

Irland har gjort gällande att valet av artikel 95 EG som rättslig grund för direktiv 2006/24 är i grunden felaktigt. Varken artikel 95 EG eller någon annan bestämmelse i EG-fördraget kan utgöra en korrekt rättslig grund för direktivet. Nämnda medlemsstat har i huvudsak påstått att det enda syftet med direktiv 2006/24, alternativt dess huvudsakliga eller övervägande syfte, är att underlätta utredning, avslöjande och åtal av brott, inklusive terrorism. Den enda möjliga rättsliga grunden för sådana åtgärder som föreskrivs i direktivet är därför avdelning VI i EU-fördraget, särskilt artiklarna 30 EU, 31.1 c EU och 34.2 b EU.

29

Enligt Irland framgår det bland annat av en undersökning av skälen 7–11 och 21 i direktiv 2006/24 samt av de grundläggande bestämmelserna, särskilt artikel 1.1, i detsamma, att det inte är korrekt att använda artikel 95 EG som rättslig grund för direktivet och att en sådan användning inte kan motiveras. Direktivet är nämligen klart och tydligt inriktat mot brottsbekämpning.

30

Det är enligt nämnda medlemsstat fastslaget att åtgärder som antas med stöd av artikel 95 EG ska ha ”sin tyngdpunkt” i tillnärmning av nationell lagstiftning för att den inre marknaden ska fungera bättre (se, bland annat, dom av den 30 maj 2006 i de förenade målen C-317/04 och C-318/04, parlamentet mot rådet och kommissionen, REG 2006, s. I-4721). Bestämmelserna i direktiv 2006/24 rör brottsbekämpning, och avsikten är inte att komma till rätta med den inre marknadens eventuella brister.

31

Även om domstolen, i motsats till vad Irland i huvudsak har gjort gällande, skulle slå fast att direktiv 2006/24 bland annat har till syfte att bekämpa en snedvridning av, eller hinder för, den inre marknaden, anser nämnda medlemsstat att detta syfte ska anses vara av helt underordnad betydelse i förhållande till det huvudsakliga eller övervägande syftet att bekämpa brott.

32

Irland har tillagt att direktiv 2002/58 kan ändras genom ett annat direktiv men att gemenskapslagstiftaren inte är behörig att använda sig av ett ändringsdirektiv som antas på grundval av artikel 95 EG för att i direktiv 2002/58 införliva bestämmelser som faller utanför gemenskapens behörighet inom ramen för första pelaren. De skyldigheter som syftar till att säkerställa att uppgifter är tillgängliga för utredning, avslöjande och åtal av brott faller inom ett område som endast kan regleras i ett instrument med rättslig grund i avdelning VI i EU-fördraget. Antagandet av ett sådant rättsligt instrument kan således inte inverka på bestämmelserna i direktivet, i den mening som avses i artikel 47 EU. Om verbet inverka, vilket används i artikel 47 EU, har förståtts riktigt, ska det tolkas så att det inte utgör hinder för att gemenskapsrättsakter och rättsakter som antagits av unionen överlappar varandra i den mån det rör sig om sekundära områden som saknar betydelse.

33

Republiken Slovakien har anslutit sig till Irlands ståndpunkt och anser att artikel 95 EG inte kan tjäna som rättslig grund för direktiv 2006/24, eftersom det huvudsakliga syftet med direktivet inte är att undanröja hinder och snedvridningar på den inre marknaden. Direktivet har till syfte att harmonisera lagring av personuppgifter också för icke-kommersiella syften, så att stater lättare ska kunna agera på det straffrättsliga området. Av denna anledning kan direktivet inte antas inom ramen för gemenskapens behörighet.

34

Bevarande av personuppgifter i den omfattning som krävs enligt direktiv 2006/24 innebär enligt nämnda medlemsstat en betydande inskränkning av privatpersoners rätt till privatliv, som föreskrivs i artikel 8 i Europakonventionen. Det är tveksamt om en så långtgående inskränkning kan anses motiverad av ekonomiska skäl, i förevarande fall en mer välfungerande inre marknad. En lämpligare lösning skulle vara att utanför gemenskapens behörighet anta en rättsakt vars huvudsakliga och öppet angivna syfte var att bekämpa kriminalitet och terrorism. Under sådana förhållanden skulle inskränkningen av enskildas rätt till privatliv vara mer motiverad.

35

Parlamentet har gjort gällande att Irland har gjort en selektiv tolkning av bestämmelserna i direktiv 2006/24. I skälen 5 och 6 i nämnda direktiv förtydligas enligt parlamentet att direktivets huvudsakliga eller övervägande syfte är att undanröja hinder för den inre marknaden för elektronisk kommunikation, och i skäl 25 bekräftas att tillgången till och användningen av lagrade uppgifter inte omfattas av gemenskapens behörighet.

36

Parlamentet har hävdat att vissa medlemsstater efter terrordåden den 11 september 2001 i New York (Förenta staterna), den 11 mars 2004 i Madrid (Spanien) och den 7 juli 2005 i London (Förenade kungariket) antog skilda regler om lagring av uppgifter. Sådana skillnader kunde enligt parlamentet utgöra hinder för tillhandahållandet av tjänster inom elektronisk kommunikation. Parlamentet anser att lagring av uppgifter medför avsevärda kostnader för dem som tillhandhåller allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät (nedan kallade tjänsteleverantörerna), och förekomsten av olika regler kan snedvrida konkurrensen på den inre marknaden. Det huvudsakliga syftet med direktiv 2006/24 är en harmonisering av de skyldigheter som medlemsstaterna ålägger tjänsteleverantörerna med avseende på lagring av uppgifter. Härav följer att artikel 95 EG utgör den korrekta rättsliga grunden för nämnda direktiv.

37

Parlamentet har även gjort gällande att den betydelse som brottsbekämpning tillmäts inte innebär att det är uteslutet att anta direktivet med stöd av artikel 95 EG. Kampen mot brottsligheten har visserligen klart påverkat de val som har gjorts i direktiv 2006/24, men denna påverkan utgör inget hinder mot att artikel 95 EG väljs som rättslig grund för direktivet.

38

I artikel 4 i direktiv 2006/24 föreskrivs vidare, som en förlängning av skäl 21, att villkoren för att erhålla tillgång till lagrade uppgifter ska fastställas av medlemsstaterna och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europakonventionen. Detta förfaringssätt skiljer sig från de åtgärder som var aktuella i de ovannämnda förenade målen Parlamentet och rådet mot kommissionen. I nämnda mål var flygbolagen skyldiga att medge att en brottsbekämpande myndighet i tredjeland gavs tillgång till passageraruppgifter. I nämnda direktiv respekteras således kompetensfördelningen mellan den första och den tredje pelaren.

39

Parlamentet har gjort gällande att även om lagring av enskildas personuppgifter i princip kan anses utgöra en inskränkning i den mening som avses i artikel 8 i Europakonventionen kan en sådan inskränkning godtas enligt nämnda artikel med hänvisning till allmän säkerhet eller förebyggande av brott. Frågan om berättigandet av en sådan inskränkning måste däremot hållas isär från den som rör valet av korrekt rättslig grund inom unionens rättsordning. Det finns nämligen inget samband mellan dessa frågeställningar.

40

Rådet har gjort gällande att nationella brottsbekämpande myndigheter åren efter det att direktiv 2002/58 antogs blev alltmer bekymrade över hur innovationer på området för tjänster inom elektronisk kommunikation utnyttjades för brottsliga gärningar. Dessa nya bekymmer ledde enligt rådet till att medlemsstaterna vidtog åtgärder för att förhindra att uppgifter hänförliga till sådan kommunikation utplånades och för att säkerställa att de brottsbekämpande myndigheterna fick tillgång till dem. Rådet har gjort gällande att den omständigheten att åtgärderna skilde sig åt började inverka negativt på den inre marknadens funktion. Detta framgår uttryckligen av skälen 5 och 6 i direktiv 2006/24.

41

Situationen tvingade gemenskapslagstiftaren att fastställa enhetliga bestämmelser för tjänsteleverantörerna vad gäller villkoren för hur denna verksamhet ska utövas.

42

Gemenskapslagstiftaren fann under år 2006 att det av dessa skäl var nödvändigt att avskaffa skyldigheten att utplåna uppgifter enligt artiklarna 5, 6 och 9 i direktiv 2002/58, och att införa tvingande bestämmelser om att de uppgifter som avses i artikel 5 i direktiv 2006/24 i framtiden skulle lagras under en viss tid. Medlemsstaterna tvingades genom denna ändring att säkerställa att nämnda uppgifter lagras under en period av minst sex månader och högst två år från det datum kommunikationen äger rum. Syftet med ändringen var att skapa precisa och harmoniserade villkor som tjänsteleverantörerna är skyldiga att följa vad gäller frågan huruvida sådana personuppgifter som avses i artikel 5 i direktiv 2006/24 ska utplånas eller ej, genom att på detta sätt inrätta gemensamma bestämmelser i gemenskapen, för att säkerställa enhetligheten på den inre marknaden.

43

Rådet har anfört att även om behovet att bekämpa brottslighet, inklusive terrorism, hade varit en avgörande faktor för beslutet att ändra omfattningen av de rättigheter och skyldigheter som avses i artiklarna 5, 6 och 9 i direktiv 2002/58, förändrar denna omständighet inte det faktum att direktiv 2006/24 skulle antas med artikel 95 EG som grund.

44

Varken artikel 30 EU, 31 EU eller 34 EU eller någon annan artikel i EU-fördraget hade kunnat tjäna som grund för en rättsakt vars huvudsakliga syfte är att förändra villkoren för tjänsteleverantörernas verksamhet eller som får den verkan att den ordning som inrättats genom direktiv 2002/58 inte ska tillämpas på dessa.

45

Bestämmelser som avser vilka uppgifter som ska lagras av tjänsteleverantörerna och hur länge dessa uppgifter ska lagras, och genom vilka de skyldigheter tjänsteleverantörerna har enligt direktiv 2002/58 ändras, kan inte inrättas genom en rättsakt som grundas på avdelning VI i EU-fördraget. Antagandet av en sådan rättsakt inverkar nämligen på bestämmelserna i nämnda direktiv, vilket utgör ett åsidosättande av artikel 47 EU.

46

Enligt rådet är de rättigheter som skyddas genom artikel 8 i Europakonventionen inte absoluta och kan bli föremål för inskränkningar enligt de villkor som uppställs i andra stycket i artikeln. Den lagring av uppgifter som föreskrivs i direktiv 2006/24 tjänar ett legitimt allmänintresse som erkänns genom artikel 8.2 i Europakonventionen och utgör ett lämpligt sätt att skydda detta intresse.

47

Konungariket Spanien och Konungariket Nederländerna har hävdat att i likhet med vad som framgår av skälen 1, 2, 5 och 6 i direktiv 2006/24 är direktivets syfte huvudsakligen att undanröja de hinder för den inre marknaden som skapas genom rättsliga och tekniska skillnader i bestämmelserna i medlemsstaterna. Enligt dessa medlemsstater är syftet med att i direktivet reglera lagring av uppgifter att undanröja sådana hinder, genom att dels harmonisera skyldigheten att lagra uppgifter, dels precisera vad som omfattas av denna skyldighet, såsom vilka kategorier av uppgifter som ska lagras och hur länge de ska lagras.

48

Den omständigheten att denna harmonisering enligt artikel 1 i direktiv 2006/24 ska ske ”för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen” är en annan fråga. I direktivet regleras inte den behandling av uppgifter som görs av offentliga myndigheter eller polismyndigheter i medlemsstaterna. Harmoniseringen berör i stället enbart de aspekter av lagring av uppgifter som direkt berör tjänsteleverantörernas kommersiella verksamhet.

49

I den mån som nämnda direktiv ändrar direktiv 2002/58 och har ett samband med direktiv 95/46 kan ändringarna endast vederbörligen genomföras genom en gemenskapsrättsakt och inte genom en rättsakt enligt EU-fördraget.

50

Kommissionen har påpekat att innan direktiv 2006/24 antogs hade flera medlemsstater med stöd av artikel 15.1 i direktiv 2002/58 vidtagit nationella åtgärder om lagring av uppgifter och att det förelåg betydande skillnader mellan dessa. Lagringstiden varierade till exempel från tre månader i Nederländerna till fyra år i Irland. Enligt kommissionen medför skyldigheterna vad gäller lagring av uppgifter betydande ekonomiska konsekvenser för tjänsteleverantörerna. En skillnad mellan dessa skyldigheter kan medföra störningar på den inre marknaden. I detta sammanhang var det berättigat att anta direktiv 2006/24 med stöd av artikel 95 EG.

51

Direktiv 2006/24 begränsar vidare, genom harmoniserade bestämmelser på gemenskapsnivå, de skyldigheter som föreskrivs i direktiv 2002/58. Eftersom det senare grundas på artikel 95 EG måste direktiv 2006/24 ha samma rättsliga grund.

52

Den hänvisning till undersökning och avslöjande av samt åtal för allvarliga brott som görs i artikel 1.1 i direktiv 2006/24 omfattas av gemenskapsrätten, eftersom den syftar till att ange det legitima skälet för de inskränkningar i enskildas rättigheter som införs genom direktivet, vad gäller skyddet av deras personuppgifter. En sådan upplysning är en nödvändig förutsättning för att tillgodose de krav som ställs i direktiven 95/46 och 2002/58 men också för att iaktta artikel 8 i Europakonventionen.

53

Europeiska datatillsynsmannen har gjort gällande att syftet med direktiv 2006/24 omfattas av artikel 95 EG, eftersom, för det första, direktivet har en direkt inverkan på tjänsteleverantörernas ekonomiska verksamhet och således kan bidra till upprättandet och funktionen av den inre marknaden, och, för det andra, en snedvridning av konkurrensen hade kunnat ske på den inre marknaden, om gemenskapslagstiftaren inte hade ingripit. Syftet att bekämpa brott är inte det enda syftet, eller ens det övervägande syftet, med nämnda direktiv. Tvärtom är syftet i första hand att bidra till upprättandet av den inre marknaden och dess funktion samt till att undanröja en snedvridning av konkurrensen. Genom direktivet harmoniseras de nationella bestämmelserna om den lagring av vissa uppgifter som privata företag gör inom ramen för sin normala ekonomiska verksamhet.

54

Vidare medför direktiv 2006/24 ändring av direktiv 2002/58, vilket har antagits med stöd av artikel 95 EG. Följaktligen ska det förstnämnda direktivet antas med stöd av samma rättsliga grund. Enligt artikel 47 EU är det endast gemenskapslagstiftaren som är behörig att ändra de skyldigheter som uppkommit genom ett direktiv som har antagits med stöd av EG-fördraget.

55

Om EG-fördraget inte kunde användas som rättslig grund för direktiv 2006/24 skulle, enligt datatillsynsmannen, gemenskapsrättsliga bestämmelser om skydd för personuppgifter inte skydda medborgarna i de fall då behandling av de sistnämndas personuppgifter kunde underlätta bekämpning av brottslighet. I en sådan situation skulle den allmänna gemenskapsrättsliga skyddsordningen för personuppgifter tillämpas med avseende på behandling av uppgifter i kommersiella syften men inte med avseende på behandling av samma uppgifter i brottsbekämpande syften. Detta skulle medföra svåra avgränsningar för tjänsteleverantörerna och en sänkning av skyddsnivån för de berörda. En sådan situation bör undvikas. Behovet av samstämmighet motiverade således att direktiv 2006/24 antogs med stöd av EG-fördraget.

56

Domstolen erinrar inledningsvis om att frågan om Europeiska unionens behörighetsområden skiljer sig åt beroende på huruvida unionen redan har tillerkänts den aktuella behörigheten i vid mening eller om detta inte har skett. I det första fallet gäller frågan kompetensfördelningen inom unionen, och särskilt frågan huruvida det är möjligt att anta ett direktiv med stöd av EG-fördraget, eller om ett rambeslut med stöd av EU-fördraget ska användas. I det andra fallet gäller frågan däremot kompetensfördelningen mellan unionen och medlemsstaterna, särskilt frågan huruvida unionen har inkräktat på medlemsstaternas behörighet. Förevarande mål rör det första fallet.

57

Det ska även preciseras att Irlands talan endast avser valet av rättslig grund och inte ett eventuellt åsidosättande av grundläggande rättigheter till följd av de inskränkningar av rätten till privatliv som direktiv 2006/24 medför.

58

Irland har, med stöd av Republiken Slovakien, gjort gällande att direktiv 2006/24 inte kan antas med stöd av artikel 95 EG eftersom dess ”tyngdpunkt” inte avser den inre marknadens funktion. Det enda syftet, eller i vart fall det huvudsakliga syftet, är utredning, avslöjande och åtal av brott.

59

Denna ståndpunkt kan inte godtas.

60

Det framgår av domstolens fasta rättspraxis att valet av rättslig grund för en rättsakt inom gemenskapen ska ske utifrån objektiva kriterier, som kan bli föremål för domstolsprövning. Bland dessa kriterier ingår bland annat rättsaktens syfte och innehåll (se dom av den 23 oktober 2007 i mål C-440/05, kommissionen mot rådet, REG 2007, s. I-9097, punkt 61 och där angiven rättspraxis).

61

Direktiv 2006/24 har antagits med stöd av EG-fördraget, särskilt artikel 95 EG.

62

I artikel 95.1 EG föreskrivs att rådet kan besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.

63

Gemenskapslagstiftaren kan använda artikel 95 EG som rättslig grund särskilt när det föreligger skillnader mellan de nationella bestämmelserna och dessa skillnader kan utgöra hinder för de grundläggande friheterna eller skapa en snedvridning av konkurrensen och ha en direkt inverkan på den inre marknadens funktion (se, för ett liknande resonemang, dom av den 12 december 2006 i mål C-380/03, Tyskland mot parlamentet och rådet, REG 2006, s. I-11573, punkt 37 och där angiven rättspraxis).

64

Även om artikel 95 EG kan tillämpas som rättslig grund för att förebygga framtida handelshinder till följd av att medlemsstaternas lagstiftning utvecklas i olika riktningar, måste det emellertid vara sannolikt att sådana hinder kan komma att uppstå, och åtgärden i fråga måste ha till syfte att förebygga dem (domen i det ovannämnda målet Tyskland mot parlamentet och rådet, punkt 38 och där angiven rättspraxis).

65

Det ska undersökas huruvida den situation som ledde till att direktiv 2006/24 antogs uppfyller de villkor som anges i det två föregående punkterna.

66

Som framgår av skälen 5 och 6 i direktivet har gemenskapslagstiftaren utgått ifrån förutsättningen att det fanns rättsliga och tekniska skillnader i bestämmelserna i medlemsstaterna avseende den lagring av trafikuppgifter som tjänsteleverantörerna skulle genomföra.

67

De omständigheter som har framlagts för domstolen bekräftar att flera medlemsstater, efter de terrordåd som omnämnts ovan i punkt 36 i förevarande dom, fann att uppgifter om elektronisk kommunikation var ett effektivt medel för att upptäcka och bekämpa brottslighet, inklusive terrorism. De antog därför, med stöd av artikel 15.1 i direktiv 2002/58, åtgärder som innebar att tjänsteleverantörerna ålades skyldigheter avseende lagring av sådana uppgifter.

68

Det framgår även av handlingarna i målet att skyldigheterna avseende lagring av uppgifter har betydande ekonomiska återverkningar för tjänsteleverantörerna, eftersom de kan medföra behov av avsevärda investeringar och utvecklingskostnader.

69

Det framgår vidare av de omständigheter som framlagts för domstolen att de nationella åtgärder som till och med 2005 hade antagits med stöd av artikel 15.1 i direktiv 2002/58 uppvisade betydande skillnader, särskilt vad gäller vilka uppgifter som ska lagras och hur länge de ska lagras.

70

Det kunde slutligen mycket väl antas att de medlemsstater som ännu inte hade några bestämmelser om lagring av uppgifter skulle komma att anta sådana, vilka ytterligare kunde öka de redan förekommande skillnaderna mellan de nationella bestämmelserna.

71

Mot bakgrund av dessa omständigheter framgår det att de olika nationella bestämmelserna om lagring av uppgifter avseende elektronisk kommunikation kunde ha en direkt inverkan på den inre marknadens funktion och att det kunde förutses att denna inverkan skulle komma att förstärkas.

72

I en sådan situation var det berättigat för gemenskapslagstiftaren att, i syfte att få den inte marknaden att fungera väl, anta harmoniserade bestämmelser.

73

Det ska vidare erinras om att direktiv 2006/24, genom att det där föreskrivs en harmoniserad nivå för lagring av uppgifter innebar att bestämmelserna i direktiv 2002/58 ändrades.

74

Det sistnämnda direktivet har antagits med stöd av artikel 95 EG.

75

Enligt artikel 47 EU skall ingen bestämmelse i EU-fördraget inverka på EG-fördraget. Samma krav finns i artikel 29 första stycket EU, som inleder avdelning VI i EU-fördraget, med rubriken ”Bestämmelser om polissamarbete och straffrättsligt samarbete” (domen i det ovannämnda målet kommissionen mot rådet, punkt 52).

76

Eftersom det i artikel 47 EU föreskrivs att ingen bestämmelse i EU-fördraget ska inverka på fördragen om upprättandet av Europeiska gemenskaperna eller på senare fördrag och rättsakter om ändring eller komplettering av de fördragen, syftar denna artikel i enlighet med artikel 2 femte strecksatsen EU och artikel 3 första stycket EU till att upprätthålla och bygga ut gemenskapens regelverk (dom av den 20 maj 2008 i mål C-91/05, kommissionen mot rådet, REG 2008, s. I-3651, punkt 59).

77

Det ankommer på domstolen att tillse att de rättsakter som enligt en part omfattas av avdelning VI i EU-fördraget, och vilka som sådana kan ha rättsverkningar, inte inkräktar på den behörighet som gemenskapen tilldelas enligt bestämmelserna i EG-fördraget (dom av den 20 maj 2008 i det ovannämnda målet kommissionen mot rådet, punkt 33 och där angiven rättspraxis).

78

I den mån som ändringen av direktiv 2002/58, vilken genomfördes genom direktiv 2006/24, omfattas av gemenskapens behörighet, kan sistnämnda direktiv inte antas med stöd av en bestämmelse i EU-fördraget utan att artikel 47 EU åsidosätts.

79

För att avgöra huruvida lagstiftaren har valt en korrekt rättslig grund för att anta direktiv 2006/24 ska vidare, i likhet med vad som angetts i punkt 60 i förevarande dom, innehållet i de materiella bestämmelserna i direktivet undersökas.

80

Det kan konstateras att bestämmelserna i direktivet i princip inskränker sig till att avse tjänsteleverantörernas verksamhet och de reglerar inte tillgången till uppgifterna eller hur dessa uppgifter får användas av polismyndigheter eller rättsliga myndigheter i medlemsstaterna.

81

Bestämmelserna i direktiv 2006/24 innebär närmare bestämt en harmonisering av de nationella bestämmelserna avseende skyldigheten att lagra uppgifter (artikel 3), avseende kategorier av uppgifter som skall lagras (artikel 5), lagringstider (artikel 6), uppgiftsskydd och datasäkerhet (artikel 7), samt avseende krav för lagring av uppgifter (artikel 8).

82

De åtgärder som föreskrivs i direktiv 2006/24 förutsätter däremot inte, i sig själva, repressiva ingripanden av medlemsstaternas myndigheter. Som det framgår av bland annat artikel 3 i direktivet ska tjänsteleverantörerna endast lagra de uppgifter som genererats eller behandlats i samband med tillhandahållande av de aktuella kommunikationstjänsterna. Dessa uppgifter är uteslutande sådana som har ett direkt samband med dessa tjänsteleverantörers kommersiella verksamhet.

83

I direktiv 2006/24 regleras således transaktioner som är oberoende av genomförandet av varje eventuell åtgärd inom ramen för polissamarbete och straffrättsligt samarbete. I direktivet harmoniseras varken frågan om de nationella brottsbekämpande myndigheternas tillgång till uppgifter eller frågan om användning och utbyte av dessa uppgifter mellan nämnda myndigheter. Dessa frågor omfattas i princip av avdelning VI i EU-fördraget och har uteslutits från bestämmelserna i direktivet, vilket framgår av skäl 25 och artikel 4 i detsamma.

84

Härav följer att det materiella innehållet i direktiv 2006/24 huvudsakligen avser tjänsteleverantörernas verksamhet inom den berörda sektorn av den inre marknaden, med undantag av statlig verksamhet som omfattas av avdelning VI i EU-fördraget.

85

Mot bakgrund av det materiella innehållet finner domstolen att direktiv 2006/24 huvudsakligen avser den inre marknadens funktion.

86

Irland har för att bemöta en sådan slutsats gjort gällande att domstolen, i domen i de ovannämnda förenade målen parlamentet mot rådet och kommissionen, har ogiltigförklarat rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till tull- och gränsskyddsmyndigheten inom Förenta staternas Department of Homeland Security (EUT L 183, s. 83, och rättelse EUT 2005, L 255, s. 168).

87

Domstolen fann, i punkt 68 i domen i de ovannämnda förenade målen parlamentet mot rådet och kommissionen, att nämnda avtal avsåg samma överföring av uppgifter som kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i [passageraruppgifter] för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (EUT L 235, s. 11).

88

Det sistnämnda beslutet avsåg överföring av passageraruppgifter från de inom medlemsstaterna belägna lufttrafikföretagens bokningssystem till tull- och gränsskyddsmyndigheten inom Förenta staternas Department of Homeland Security. Domstolen fann att avtalets syfte var en uppgiftsbehandling som inte var nödvändig för lufttrafikföretagens tillhandahållande av en tjänst, utan en behandling som ansågs vara nödvändig för att säkerställa allmän säkerhet och för att tillgodose repressiva syften. Domstolen fann, i punkterna 57–59 i domen i de ovannämnda förenade målen parlamentet mot rådet och kommissionen, att en sådan uppgiftsbehandling omfattades av artikel 3.2 i direktiv 95/46. Enligt denna bestämmelse gäller inte direktivet för sådan behandling av personuppgifter som bland annat rör allmän säkerhet och statens verksamhet på straffrättens område. Domstolen fann följaktligen att beslut 2004/535 inte omfattades av tillämpningsområdet för direktiv 95/46.

89

Domstolen konstaterade att eftersom det avtal som är föremål för beslut 2004/496 i likhet med beslut 2004/535 avsåg en uppgiftsbehandling som var undantagen från tillämpningsområdet för direktiv 95/46, hade beslut 2004/496 inte med giltig verkan kunnat antas med stöd av artikel 95 EG (domen i de ovannämnda förenade målen parlamentet mot rådet och kommissionen, punkterna 68 och 69).

90

Sådana resonemang kan inte överföras på direktiv 2006/24.

91

Till skillnad från beslut 2004/496, vilket avsåg en överföring av personuppgifter inom ramar som inrättats av offentliga myndigheter för att garantera den allmänna säkerheten, avser direktiv 2006/24 nämligen tjänsteleverantörers verksamhet på den inre marknaden och innebär inte någon reglering av offentliga brottsbekämpande myndigheters verksamhet.

92

Härav följer att Irlands argument avseende den ogiltigförklaring av beslut 2004/496 som skedde genom domen i de ovannämnda förenade målen parlamentet mot rådet och kommissionen inte kan godtas.

93

På grund av det anförda finner domstolen att det krävdes att direktiv 2006/24 antogs med stöd av artikel 95 EG.

94

Talan ska följaktligen ogillas.

95

Enligt artikel 69.2 i rättegångsreglerna ska tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats. Parlamentet och rådet har yrkat att Irland ska förpliktas att ersätta rättegångskostnaderna. Eftersom Irland har tappat målet, ska parlamentets och rådets yrkanden bifallas. I enlighet med artikel 69.4 första stycket i rättegångsreglerna ska intervenienterna i förevarande mål bära sina rättegångskostnader.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: