Škoberne t. Slovenië (EHRM, 19920/20) – Net als het HvJEU zet het EHRM streep door dataretentieverplichting

1. De aanleiding voor de zaak Škoberne t. Slovenië is de strafrechtelijke veroordeling van een rechter voor het aannemen van steekpenningen. Hij klaagt voor het EHRM onder art. 6 EVRM over het feit dat hij in zijn zaak geen getuigen mocht horen. Hij had graag degenen van wie  hij steekpenningen zou hebben aangenomen gehoord. Een verdragsschending, aldus het EHRM, omdat het horen van cruciale getuigen van essentieel belang is voor een eerlijk proces. Daarnaast zijn telecommunicatiegegevens van de klager, metagegevens over met wie, wanneer, waar en hoelang een persoon communiceert, opgevraagd en gebruikt door politie en justitie in het kader van hun onderzoek naar hem. Dienaangaande beroept klager zich op art. 8 EVRM, waarin het recht op privéleven en correspondentiegeheim is gewaarborgd. Deze annotatie richt zich op de behandeling door het EHRM van deze klacht.

2. In zijn behandeling van de klacht onder het recht op privacy stelt het EHRM al snel een inbreuk vast. Dit is om een aantal redenen interessant. Allereerst omdat het hier gaat om de verwerking van metagegevens. Lange tijd heeft het EHRM een andere benadering voorgestaan dan het HvJEU ten aanzien van het EU recht, met name de Algemene Verordening Gegevensbescherming (‘AVG’) en de vroegere Richtlijn bescherming persoonsgegevens. Onder het EVRM geldt klassiek de vraag naar zowel de ratione personae en de ratione materiae ontvankelijkheid van een klacht, en geldt bovendien de de minimis-regel onder art. 35 lid 3 sub  b EVRM, wat wil zeggen dat als een rechtsgoed is aangetast dat onder de materiële reikwijdte van het EVRM valt, dat nog niet direct wil zeggen dat het ook onder de persoonlijke reikwijdte valt. Dat is alleen het geval als de klager kan aantonen dat het gaat om significante individuele schade. Onder de AVG bestaat geen de minimis-regel en zijn de ratione personae en ratione materiae samengevoegd; op elke verwerking van een persoonsgegeven die onder de materiële reikwijdte van de wet valt is de AVG van toepassing (mits ook aan de territoriale reikwijdte, de ratione loci, is voldaan). Aanvankelijk oordeelde het EHRM dat niet iedere verwerking van persoonsgegevens als significante inperking van art. 8 EVRM geldt, zeker niet als het ging om een tamelijk alledaagse verwerking van een beperkt aantal ongevoelige gegevens.[1] Langzamerhand heeft het EHRM er echter voor gekozen om één lijn te trekken met het EU-recht en simpelweg alle verwerkingen van persoonsgegevens als aantasting van het recht op privacy te zien. Deze zaak benadrukt dat die lijn  ook op metadata van toepassing is. De verzameling van informatie over de inhoud van privécommunicatie werd traditioneel beschermd door art. 8 EVRM; informatie over de correspondentie zelf, zoals wie, wanneer, hoe vaak en via welke middelen, valt echter buiten het correspondentiegeheim. Het EHRM benadruk dat het verzamelen van deze zogenoemde metadata onder art. 8 EVRM valt, omdat het aan de bescherming van het privéleven raakt.

3. Sterker nog, de inbreuk is zeer fors. In eerdere jurisprudentie, waar het EHRM in deze uitspraak veelvuldig naar verwijst, zoals de Big Brother Watch e.a. t. Verenigd Koninkrijk en Centrum för Rättvisa t. Zweden-zaken had het ook al gevonden dat ook de verzameling van metadata door inlichtingendiensten onder art. 8 EVRM valt, maar onderschreef het vooral het belang van mass surveillance voor veiligheidsdiensten: ‘the Court is required to carry out its assessment of Contracting States’ bulk interception regimes, a valuable technological capacity to identify new threats in the digital domain, for Convention compliance by reference to the existence of safeguards against arbitrariness and abuse, on the basis of limited information about the manner in which those regimes operate’.[2] In deze zaak lijkt die verhouding net andersom. Verwijzend naar de jurisprudentie van het EU Hof van Justitie, benadrukt het EHRM dat de verwerking van metadata allerhande publieke belangen kunnen dienen, maar vooral dat het op grote schaal verzamelen en verwerken van metadata een grote impact op het privéleven heeft. ‘In the Court’s view, the systemic surveillance entailed by the mandatory retention of telecommunications data presents an impediment to the enjoyment of the privacy rights of all users of telecommunication services. The existence of large collections of telecommunications data and the ongoing retention of such data could understandably generate a sense of vulnerability and exposure and could prejudice persons’ ability to enjoy privacy and the confidentiality of correspondence, to develop relations with others and to exercise other fundamental rights (par. 133-134).’

4. Niet alleen heeft het EHRM het recht op privacy onder het EVRM gelijkgetrokken met het recht op gegevensbescherming onder de AVG op het punt van metadata en persoonsgegevens, dat heeft het ook gedaan op het punt van horizontale werking. Strikt genomen gaat het EVRM om verticale relaties en kan het Verdrag worden ingeroepen door burgers die in hun rechten menen te zijn getroffen door overheidsoptreden. Al langer past het Hof het EVRM indirect in horizontale relaties toe. Zo legt het positieve plichten op aan staten om mensenrechten ook in horizontale relaties te beschermen. Ook beoordeelt het of nationale rechters in juridische conflicten in horizontale relaties goed hebben beargumenteerd hoe zij tot hun besluit zijn gekomen en of zij alle relevante belangen tegen elkaar hebben afgewogen. Deze zaak is nog iets complexer, omdat een burger klaagt over een wettelijke regime dat op internetproviders rust, namelijk dat internetproviders aan dataretentie moeten doen. Het Hof beoordeelt de legitimiteit van dit wettelijke kader op zijn eigen merites; de hele discussie omtrent de inbreuk op de persoonlijke belangen van de klager had dan ook net zo goed achterwege kunnen blijven.

5. In feite is dit dan ook een verhulde in abstracto-zaak. Het Hof verwijst dan ook expliciet naar zijn quality of law-doctrine,[3] waaruit volgt dat wetten aan een aantal minimumvoorwaarden moeten voldoen. Het Hof heeft nog niet helemaal uitgedokterd hoe het deze doctrine precies moet plaatsen. Meestal bespreekt het die doctrine onder het vraagstuk of de inbreuk is voorgeschreven bij wet, soms koppelt het de doctrine aan het vraagstuk van noodzakelijkheid in een democratische samenleving. In casu kiest het Hof voor de laatste benadering en benadrukt het dat de minimumvoorwaarden die het stelt aan wetgeving er op zijn gericht dat de inzet van overheidsmacht beperkt blijft tot dat wat noodzakelijk is in een democratische samenleving, een soort privacy by design dus, maar dan via wetgeving in plaats van techniek.

6. Het Hof constateert dat de inbreuk in casu een wettelijke basis had en een publiek belang diende, en wel bijna alle gronden als genoemd in art. 8, lid 2 EVRM. Het Hof erkent het in abstracto karakter van deze zaak impliciet als het stelt dat de dataretentie in casu niet specifiek was gericht op de verdachte, laat staan op dit specifieke onderzoek (het ging om een algemene plicht voor internetproviders om data bij te houden, politie en justitie hadden toegang gezocht tot die data, onder meer om vast te stellen of de klager contact had gehad met de personen waarvan hij steekpenningen zou hebben ontvangen) en dat die data geen rol hebben gespeeld in de uiteindelijke vervolging en juridische procedure (zie o.a. par.126 en 145).

7. Ten aanzien van de in abstracto-beoordeling van het juridische regime zoomt het Hof met name in op het vraagstuk van proportionaliteit. Het stelt dat de minimumvoorwaarden voor wetgeving die het eerder had ontwikkeld voor inlichtingendiensten ook van toepassing zijn op de bulkverzameling van metadata door internetproviders en komt tot de conclusie dat het daar mis gaat. ‘The Court notes in this connection that the Amended 2004 Act set out a number of purposes for which the telecommunications data was to be retained, but it contained no provisions circumscribing the scope and application of the measure in relation to that which was necessary to achieve those purposes. Neither has it been shown that any other legislative act contained such provisions.  [T]he national law should, as part of the minimum requirements, in a manner suitable to the particular form of surveillance, define the scope of application of the measure in question and provide appropriate procedures for ordering and/or reviewing it with a view to keeping it within the bounds of what is necessary. Having regard to the nature of the interference at issue, those minimum requirements should have been met also by a measure entailing the retention of telecommunications data. The absence of provisions or mechanisms aimed at ensuring that the measure was actually limited to what was “necessary in a democratic society” … rendered such a regime irreconcilable with the State’s obligations under Article 8. (par. 139).’ Het feit dat de data voor maximaal 14 maanden kon worden bewaard deed niet af aan die constatering. Naast een schending van art. 6 EVRM constateert het dus ook een schending van art. 8 EVRM.

8. Deze zaak betekent dat het EHRM bevestigt dat gegevensbescherming een vast onderdeel is van de privacybescherming onder het EVRM, dat dezelfde regels gelden voor metadata als voor de verwerking van persoonsgegevens en dat de voorwaarden die het Hof heeft ontwikkeld voor de kwaliteit van wetgeving ten aanzien van inlichtingendiensten ook van toepassing zijn op wetgeving ten aanzien van internetproviders. Deze zaak lijkt ook de trend te bevestigen dat het EHRM zich steeds meer richt op in abstracto-evaluaties van wetgeving, alhoewel het hier nog pro forma ingaat op de privacybelangen van de betrokkene: het Hof merkt op dat de bewaarplicht die rust op internetproviders om metagegevens te verzamelen en te bewaren een grote inbreuk op art. 8 EVRM met zich brengt. Omdat zowel de EU als de Raad van Europa, het EUHvJ als het EHRM, zich steeds meer in hetzelfde vaarwater begeven is het wellicht raadzaam op termijn een vorm van verwijsplicht op te nemen. Deze zaak had bijvoorbeeld wellicht beter kunnen worden beoordeeld door het EUHvJ (in tegenstelling tot de eerdere zaken over inlichtingendiensten, waarover de EU formeel geen competentie heeft).

Bart van der Sloot

[1] Van der Sloot, B. (2017). Privacy as virtue. Cambridge: Intersentia.

[2] Big Brother Watch e.a. t. Verenigd Koninkrijk, 25 mei 2021, nrs. 58170/13 62322/14 24960/15, ECLI:CE:ECHR:2021:0525JUD005817013, par. 323. Centrum för Rättvisa t. Zweden, 25 mei 2021, nr. 35252/08, ECLI:CE:ECHR:2021:0525JUD003525208, par. 237.

[3] Van der Sloot, B. (2020). The quality of law: How the European Court of Human Rights gradually became a European Constitutional Court for privacy cases. J. Intell. Prop. Info. Tech. & Elec. Com. L., 11, 160.