Het Europese Hof van Justitie heeft geoordeeld dat een algemene bewaarplicht niet is toegestaan. Het opslaan van gegevens ter bestrijding van ernstige misdrijven mag wel, maar dit mag niet het massaal opslaan van gegevens van alle telecomgebruikers tot gevolg hebben.

Het Hof stelt dat de privacyinbreuk door het opslaan van verkeers- en locatiegegevens van telecomgebruikers zeer ernstig is, doordat deze veel informatie bieden over het leven van personen. Omdat de verzameling zonder medeweten van de persoon zelf gebeurt, kan dit zorgen voor een 'gevoel van constante surveillance'. Om die reden moet de bewaarplicht dan ook alleen toegepast worden voor het doeleinde om ernstige misdrijven op te sporen. De wetgeving die dit mogelijk maakt, moet zich bovendien beperken tot wat 'strikt noodzakelijk' is. Daarom moet de wetgeving helder zijn en voorzien in de nodige waarborgen tegen misbruik. Het Hof voegt daaraan toe dat metadata net zo gevoelig is als de daadwerkelijke inhoud van gesprekken als het om privacy gaat.

Frederik Zuiderveen Borgesius, onderzoeker aan het Amsterdamse IViR, legt aan Tweakers uit: "Deze uitspraak is zeer goed nieuws. Onder de oude dataretentieregels was het mogelijk om de gegevens van alle burgers op te slaan en sprak het Hof zich niet expliciet hiertegen uit. Dat heeft het met deze uitspraak wel gedaan." Hij wijst erop dat een algemene bewaarplicht niet is toegestaan en dat nationale wetgeving daarnaast moet aangeven van welke groep personen de gegevens opgeslagen moeten worden. Daarmee is het verzamelen van gegevens van alle burgers van de baan, aldus Zuiderveen Borgesius. De uitspraak heeft ook gevolgen voor het Nederlandse wetsvoorstel, dat was gebaseerd op de eisen die het Hof formuleerde in 2014.

Over toegang tot de gegevens zegt het Hof dat daarvoor aanvullende regels moeten gelden, ook al vindt die toegang plaats om ernstige misdrijven tegen te gaan. Zo moeten de regels die daarvoor gelden op een heldere manier duidelijk maken in welke situaties en onder welke voorwaarden toegang is toegestaan. Toegang mag zo bijvoorbeeld alleen worden verleend tot de gegevens van personen die verdacht worden van het plannen of uitvoeren van ernstige misdrijven, of van betrokkenheid daarbij.

Daarbij geldt volgens het Hof de uitzondering dat toegang tot gegevens van andere personen in bepaalde gevallen ook mogelijk moet zijn. Dat kan bijvoorbeeld op grond van een dreiging voor de nationale en publieke veiligheid door terrorisme. Daarnaast moet er in alle gevallen onafhankelijk toezicht zijn op de toegang tot de gegevens, behalve in gevallen dat er spoed is geboden. Het Hof meldt verder dat de gegevens binnen de EU moeten worden opgeslagen en na het verlopen van de bewaartermijn moeten worden vernietigd.

Hiermee geeft het Hof antwoord op vragen die zijn gesteld door Zweedse en Britse rechters over de legaliteit van de bewaarplicht. Die werd in een eerdere uitspraak door het Hof onderuit gehaald. De uitspraak in 2014 betrof de zaak 'Digital Rights Ireland', waarin het Hof de Europese richtlijn over de bewaarplicht ongeldig verklaarde, omdat deze inbreuk maakt op fundamentele rechten. Daarmee verdween ook de basis voor de Nederlandse wet bewaarplicht telecomgegevens, die was gebaseerd op de richtlijn. In 2015 oordeelde de voorzieningenrechter in Den Haag dat de Nederlandse wet buiten werking moest worden gesteld. De EU liet toen weten niet aan een nieuwe bewaarplicht te werken. In Nederland is er in oktober 2015 een nieuw voorstel gedaan, dat in september naar de Tweede Kamer is gestuurd. De Belgische bewaarplicht is sinds juni 2015 niet meer van kracht.