Die Datenspeicherung zeichne das Privatleben jedes Bürgers auf. „Es besteht ein erhöhtes Risiko, dass die auf Vorrat gespeicherten Daten zu rechtswidrigen, potenziell die Privatsphäre verletzenden oder - allgemeiner - zu betrügerischen oder gar heimtückischen Zwecken verwendet werden.“ Denn die Datenspeicherung werde von Firmen – den Providern - vorgenommen und stehe nicht unter staatlicher Kontrolle, kritisierte der Generalanwalt. Auch der EuGH schließt sich dieser Ansicht an.

Die Richtlinie biete keine hinreichenden Garantien dafür, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind, so der EuGH. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt außerdem, dass die Richtlinie keine Speicherung der Daten innerhalb der EU vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert.