Det blev udlagt som en sejr for de kritikere, der i årevis havde påpeget, at den mest omfattende masseovervågningslovgivning nogensinde indført i Europa, gik for langt. I den skelsættende Tele2-dom fra den 21. december 2016 erklærede EU-domstolen, at de logningsordninger, som de fleste EU-lande har indført på EU’s foranledning, var i strid med borgernes grundlæggende rettigheder.
Logningsreglerne handler om, at man fra statens side pålægger teleudbyderne blandt andet at gemme en lang række oplysninger om alle borgernes kommunikation. Det gælder f.eks., hvem den enkelte telekunde sms’er og ringer til samt hvilken mobilmast, den enkelte kunde forbinder til på et givet tidspunkt. Oplysningerne skal gemmes i et år og kan efterfølgende indhentes af myndighederne med en dommerkendelse eller såkaldt editionskendelse.
Justitsminister Søren Pape Poulsen (K) erkendte på et samråd i marts 2017, at de danske logningsregler er i strid med EU-dommen og skal laves om. Ganske opsigtsvækkende valgte han dog ved samme lejlighed at slå fast, at man fra dansk side har tænkt sig at fortsætte med den – nu ulovlige – overvågning, indtil man har fundet ud af, hvordan man skal indrette systemet fremover.
I dommen fra 21. december 2016 blev det særligt problematiseret, at registreringen gælder »alle personer« i landet – også dem, hvor der ikke findes »noget som helst indicium for, at deres adfærd kan have – selv en indirekte eller fjern – forbindelse til grove straffelovsovertrædelser«. Senere i dommen konkluderes det, at: »En national lovgivning som den i hovedsagen omhandlede overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet.«
Nu viser to interne dokumenter fra arbejdsgrupper i EU-systemet, at EU-landene ikke har planer om i særlig høj grad at begrænse overvågningen. Dokumenterne er blevet lækket af ngo’en Statewatch og peger på, at EU-landene ser ud til at gå til ganske kreative fortolkninger af dommen for at kunne opretholde en ordning, der minder mest muligt om den nuværende.
Nyt begreb for det samme
I de lækkede dokumenter, der stammer fra en arbejdsgruppe under Ministerrådet og fra EU’s anti-terrorkoordinator, ser det ud til, at man har opfundet et nyt begreb, »begrænset datalogning«, i stedet for den »generelle« model, som nu ikke længere er lovlig.
Dermed lægger man op til, at begrænsningen skal bestå i, i hvilke datakategorier man vil indsamle loggede oplysninger. Et analysearbejde skal definere de mulige kategorier og herefter – med hjælp fra politiet og andre myndigheder – nå frem til, hvilke kategorier »der er absolut og objektivt nødvendige for at sikre den offentlige sikkerhed«.
I dokumenterne går arbejdsgrupperne ikke i detaljer med, hvilke datakategorier der ikke længere skal logges, men nævner, at »for eksempel en lille udbyder, der kun udbyder wifi i pizza-restauranter« kan være undtaget, mens der også åbnes mulighed for, at grupper som journalister og advokater, der kan have lovkrav på fortrolighed i kommunikationen, kan blive undtaget fra logning.
Ved at indføre begrænsninger på datakategorierne er det altså vurderingen, at man kan imødekomme domstolens krav om, at logningen ikke må gælde for hele befolkningen. Også selv om de eksempler, man nævner, ikke umiddelbart tyder på særligt voldsomme begrænsninger.
»Det eneste nye er navnet. Det er reelt en generel logningspligt, som den vi har i dag,« siger Jesper Lund, der er formand for IT-Politisk Forening.
»Det er udtryk for, at man reelt planlægger at ignorere Tele2-dommen. Dermed vil de yderligere bidrage til den tendens, man desværre også ser på andre områder: At lovgiverne går lige til grænsen og lidt over i forhold til, hvad der er tilladt efter Charteret om grundlæggende rettigheder og menneskerettighedskonventionen,« siger han.
Målrettet eller ej?
En præmis i Tele2-dommen har ellers fået flere eksperter til at pege på, at den fremtidige logning blev nødt til at være »målrettet« ved f.eks. kun at gælde for en afgrænset personkreds, der på en eller anden måde kunne forbindes til alvorlig kriminalitet. En anden begrænsning kunne ske ved at lade det gælde for et geografisk område, der på et tidspunkt var særligt udsat for en terrortrussel eller lignende.
På et samråd i marts, hvor Justitsminister Søren Pape Poulsen for første gang forholdt sig til dommen, sagde han, at også de fremtidige danske regler skulle være målrettede:
»Vi kommer til at lave nogle tilpasninger af logningsreglerne, således at de ikke længere omfatter alle teleselskabernes kunder, men det er for tidligt at sige, hvordan sådanne ’målrettede’ logningsregler nærmere kommer til at se ud,« står der i ministerens talepapir.
Men ifølge de lækkede dokumenter ser der ikke ud til at være særligt stærkt fokus på en målrettet model i EU. I dokumenterne lægges i stedet vægt på, at Tele2-dommen ganske vist fremhæver den målrettede model, men »ikke udelukkende tillader målrettet datalogning«. Derfor er der altså gode muligheder for at udforske andre modeller.
Ifølge Jacob Mchangama, direktør i den juridiske tænketank Justitia, er det dog tvivlsomt, om de planer kommer til at leve op til kravene efter Tele2-dommen:
»Som jeg læser dommen, er det store problem, at man indsamler om alle, uanset om der er den mindste mistanke mod dem eller ej. Det er svært at komme uden om den begrænsning, også selv om man afgrænser kategorier og indfører flere retsgarantier,« siger Jacob Mchangama, der tager det forbehold, at det er svært at se, hvad man præcis forestiller sig skal være »begrænset datalogning« ud fra de lækkede dokumenter.
»For mig virker det, som om de prøver at skrive sig uden om den største forhindring, nemlig den at man ikke må ramme alle. Selv om de siger, at det kun er bestemte informationer, så er det stadig alle mulige folk, som bruger almindelige kommunikationsmidler som telefon og sms,« siger han.
Et vigtigt redskab
Også Lene Wacher Lentz, der skriver ph.d. om politiets efterforskning på internettet på Aalborg Universitet og netop har skrevet en længere analyse af Tele2-dommen i bladet Juristen har svært ved at se, at EU-domstolen vil acceptere en model, hvor man ikke i højere grad målretter logningen ved også at begrænse den personkreds, som logningen omfatter.
»Jeg synes, at Tele2-dommen har nogle meget håndfaste konklusioner, som er meget svære at komme uden om, og ’målrettet’ går igen flere steder,« siger hun.
»Man må forvente, at der i maskinrummet bliver gjort rigtigt meget for at finde ud af, hvad der kan lade sig gøre, for der er ingen tvivl om, at logning har været et vigtigt redskab for politiet. Man vil nok gå lige til grænsen og måske også få prøvet noget, der risikerer at blive afvist af domstolen igen, fordi der fra politiets side er så stort behov for at bevare det«.
Sverige fjerner logning af fastnet
At mange jurister og kritikere har en radikalt anden fortolkning af Tele2-dommen end i regeringskontorene, kan man også se i Sverige. Da Tele2-dommen var direkte rettet mod Sverige, er det her, man er kommet længst i at vurdere konsekvenserne af dommen for den nationale lovgivning. Sveriges lovgivning minder på flere punkter om den danske.
Det forberedende arbejde er udført af en kommission med både embedsmænd og universitetsjurister: I en 414 sider lang rapport offentliggjort i oktober bliver modeller med en »målrettet« logning afvist som løsning, da de »indeholder svagheder, der betyder, at det ikke er rimeligt at foreskrive nogle af dem«.
Selve passagen i dommen, hvor EU-domstolen henviser til den målrettede logning som en løsning, bliver endda i den svenske rapport betegnet som havende »ingen forbindelse med afgørelsen«.
Det er derfor den svenske kommissions vurdering, at en »begrænset logning« er mulig, så længe den er mindre omfattende end i dag. En holdning som svenskerne – ud over EU arbejdsgrupperne – også ser ud til at dele med Europols jurister, som i et lækket svar på et spørgeskema skriver:
»Der kan argumenteres for, at selv en marginal – men rimelig – undtagelse af data vil give den nødvendige sammenhæng mellem foranstaltningen og dens formål.«
Denne marginale – men rimelige – begrænsning er i Sveriges tilfælde blevet til, at man fritager fastnettelefoner fra logning, men fastholder, at alle enheder på mobilnetværket fortsat skal have logget både lokation ved opkald samt hvem, man kommunikerer med.
Selv om det umiddelbart minder ganske meget om de nuværende regler, fremhæver den svenske kommission, at forpligtelsen dermed ikke længere bliver generel, da »meget trafikdata, ligesom al lokationsdata, som ikke er trafikdata, ikke vil være omfattet af forpligtelsen«.
I forhold til internetadgang lægger den svenske kommission op til at ville intensivere logningen af mobiltelefoners internetbrug, så man også her kan fastslå, hvem der har den enkelte ip-adresse på et givet tidspunkt, mens der for faste internetforbindelser bliver taget nogle forpligtelser ud.
Man laver samtidigt ændringer i, hvor længe man skal opbevare data, så lokationsdata kun skal opbevares i to måneder, mens andre data skal beholdes i henholdsvis seks og ti måneder.
Opsummeret kan man sige, at den svenske kommission vurderer, at det er tilstrækkeligt med begrænsede indskrænkninger i datakategorierne, og altså ikke tillægger det, Tele2-dommen indholder om begrænsninger i personkreds, nogen særlig vægt.
Afventer EU
Information har bedt Justitsministeriet om en kommentar til indholdet af EU-dokumenterne, og om ministeriet stadig forventer at kunne nå at være klar med en revision af de danske logningsregler i dette folketingsår. Justitsministeriet skriver i en kommentar:
»Regeringen mener, at det er afgørende, at EU-landene forsøger at finde fælles løsninger i denne sag, da loggede oplysninger er centrale efterforskningsredskaber for politiet og efterretningstjenesterne i hele EU.«
»Regeringen afventer derfor det fælles arbejde, der er i gang i EU, og EU-Kommissionens retningslinjer om logning. Den fælles proces er vigtig for at sikre, at de nye regler holdes inden for EU-rettens rammer og giver politiet og PET de redskaber, der skal til for at bekæmpe alvorlig kriminalitet og terror.«
Det står ikke klart, hvor længe man fra dansk side kan opretholde lovgivning, der er i strid med EU-retten. Men i forbindelse med fremsættelsen af et lovforslag om at udskyde en planlagt revision af logningsreglerne i april henviste Søren Pape Poulsen selv til en tidligere sag, hvor Højesteret fandt, at »det var velbegrundet«, at man brugte »et års tid« på at udrede situationen. Fredag er der gået et år og en dag.
På tide at levere
At dømme ud fra indholdet i de lækkede dokumenter, lader det ikke til, at EU-systemet har lagt sig fast på, om man vil foreslå nye regler som et direktiv, en forordning eller ved at lempe i den planlagte e-databeskyttelsesforordning, så det bliver nemmere at vedtage nationale regler.
E-databeskyttelsesforordningen forventes først at være klar til at træde i kraft i 2020 – og selv hvis man dropper forudsætningen om at ændre i den, er det stadig vansleigt at se, hvordan man vil nå at være klar med nye regler snart, påpeger Jesper Lund.
»Hvis de afventer EU, bliver det med sikkerhed ikke i det her folketingsår, at Justitsministeren kan fremsætte et lovforslag. For det her arbejde i EU bliver simpelthen ikke færdigt inden for de næste måneder,« siger han.
Også Jan Phillip Albrecht, der er næstformand i Europa-Parlamentets retsudvalg (LIBE) og medlem af Europa-Parlamentet for De Grønne i Tyskland fremhæver, at der snart skal begynde at ske noget både i arbejdsgrupperne og i de mange lande, som indtil videre bare fortsætter med de samme regler.
»Der er gået et år, hvor de har tænkt over det. Nu er det på tide at levere noget, og hvis de ikke er i stand til at levere et alternativ, så skal de i det mindste ændre deres love, så de ikke strider mod EU’s standarder,« siger Jan Phillip Albrecth, der håber, at EU-Kommissionen på sigt vil tage retslige skridt mod landene, hvis der ikke sker nogen ændringer.
»Det skal være en grundig debat, men det kan heller ikke accepteres, at en tydeligvis ulovlig situation bare fortsætter i flere år på bekostning af befolkningens rettigheder.«
Logningens kaotiske historie
2007: Logningsbekendtgørelsen træder i kraft i Danmark, som en del af Terrorpakke II. Der indsættes en revisionsbestemmelse om, at loven skal evalueres efter et par år. Danmark går videre end EU’s logningsdirektiv ved også at indføre en omfattende overvågning af befolkningens internetbrug – den såkaldte sessionslogning. Eksperter kritiserer sessionslogningen for at være ubrugelig.
2010: Revisionsbestemmelsen forsøges fjernet af Justitsministeriet, men det mislykkes på grund af protester. Revisionen af logningsreglerne er dog aldrig sket, da den rutinemæssigt er blevet udskudt i Folketinget år efter år.
2012: Opgørelser til Folketinget viser, at sessionslogning ikke bliver brugt. Internetovervågningen er eksplosivt stigende i omfang, og der registreres flere hundrede milliarder oplysninger om året. Justitsministeriet kan ikke give et eneste eksempel på, at sessionslogning er blevet brugt til en domfældelse, men fastholder alligevel, at det er et vigtigt redskab.
2013: En redegørelse fra Justitsministeriet slår fast, at de sidste fem års internetovervågning har været stort set ubrugelig. Alligevel nægter Justitsministeriet fortsat at afskaffe det. I redegørelsen erkender ministeriet, at man længe havde været klar over, at registreringen blev gennemført på en måde, der gjorde den uanvendelig, og at det bla. også skyldes, at »det teknologiske modenhedsniveau i dansk politi« ikke var så højt. Trods de hårde konklusioner i ministeriets egen redegørelse, afviser man at afskaffe internetovervågningen.
2014: Logningsdirektivet annulleres efter dommen Digital Rights vs. Ireland. Dommen slår fast, at logningsdirektivet strider mod EU’s charter om grundlæggende rettigheder både på grund af overvågningens omfang, og fordi der ikke fra EU’s side er fastsat krav om f.eks. retskendelse, før myndighederne kan få adgang til data. I de fleste lande fortsætter overvågningen dog uhindret, da direktivet er implementeret i den nationale lovgivning.
2014: Justitsministeriet stopper sessionslogningen. Det sker to måneder efter EU-dommen, men ifølge Justitsministeriet er det ikke derfor. I stedet henvises der til redskabets manglende effektivitet. Ministeriet vælger i øvrigt at fortolke EU-dommen sådan, at Danmark ikke behøver at ændre noget i sine resterende logningsregler bl.a. på grund af det danske krav om retskendelse.
2015: Syv måneder efter at have stoppet internetovervågningen lægger Justitsminister Mette Frederiksen (S) op til at genindføre den igen i en ny – ikke nærmere specificeret form.
2016: Justitsminister Søren Pind (V) sætter gang i en offensiv for at genindføre internetovervågning i en ny form. Der henvises til, at man går glip af mange vigtige oplysninger fordi sms i stigende grad erstattes af andre beskedformater. Særligt er man interesseret i mobiltelefonernes lokationer ved mobilbeskeder via internettet.
2016: Tele2-dommen slår i december fast, at logning af en hel befolknings kommunikation og bevægelsesmønstre på en række områder er i strid med EU’s charter om grundlæggende rettigheder.
2017: Justitsminister Søren Pape Poulsen (K) erkender i marts, at de danske regler skal laves om. Han erklærer dog ved samme lejlighed at den – nu ulovlige logning – skal fortsætte indtil man har nye regler på plads.
