Google selv har nøyd seg med å betegne dommen som overraskende og skuffende, men særlig amerikanske kommentatorer har fordømt den som et sjokkerende angrep på friheten til å bli informert — informasjonsfriheten — og dermed på selve ideen om et fritt Internett. De fleste reaksjonene fra europeiske kommentatorer er mer nyanserte. Det er ingen tvil om at dommen legger klare føringer i retning av styrket personvern, men den etterlater samtidig en rekke ubesvarte spørsmål som gjør at det er for tidlig å si noe sikkert om hvilke praktiske følger den vil få.

Slette “irrelevante” søkeresultater

Meget kort fortalt har EU-domstolen avgjort at personverndirektivet (direktiv 95/46/EF) som utgangspunkt og hovedregel gir enkeltpersoner rett til å kreve at søkemotorselskaper som Google sletter søkeresultater som er «inadequate», «irrelevant», «no longer relevant» eller «excessive» (avsnitt 94 i dommen).

Ifølge EU-domstolen må nemlig bestemmelsene i EUs Charter om grunnleggende rettigheter som gjelder respekt for privatlivet (artikkel 7) og vern av personopplysninger (artikkel 8) i prinsippet gå foran offentlighetens interesse i å finne slike opplysninger ved søk på den aktuelle personens navn (avsnitt 97 i dommen).

Unntak fra dette utgangspunktet krever særlige grunner («particular reasons»), noe som først og fremst vil være aktuelt for offentlige personer. Selv her krever imidlertid EU-domstolen at det foreligger en tungtveiende offentlig interesse («[a] preponderant interest of the general public») for at informasjonsfriheten skal gå foran personvernet.

Personverndirektivet er innlemmet i EØS-avtalen og det er liten grunn til å tolke det på noen annen måte i EØS-rettslig sammenheng. Om spørsmålet skulle bli reist for EFTA-domstolen, vil den temmelig sikkert legge EU-domstolens syn til grunn. Dommen må derfor kunne påberopes også av norske borgere som ønsker å bli glemt av Google eller andre søkemotorselskaper.

Google mot Mario Costeja González

I den konkrete saken mellom Google og Mario Costeja González slo EU-domstolen fast at Google må sørge for at søk på González’ navn ikke lenger viser til en 16 år gammel notis i en katalansk avis som opplyser om tvangsauksjon av boligen hans for å dekke gjeld til sosialtjenesten. Den endelige avveiningen ble riktignok som vanlig overlatt til de nasjonale domstolene, men EU-domstolen karakteriserte de aktuelle opplysningene som følsomme for González’ privatliv, viste til tidsforløpet på 16 år og la til at det ikke synes å foreligge tungtveiende offentlig interesse av opplysningene.

På veien frem til denne konklusjonen besvarte EU-domstolen flere meget viktige spørsmål knyttet til rekkevidden av EUs personvernlovgivning.

1. Google behandler personopplysninger

For det første slår dommen fast at søkemotorer som Google driver en aktivitet som er omfattet av personverndirektivet. Det bærende synspunkt er at når søkemotorer systematisk og kontinuerlig gjennomgår all informasjon som publiseres på Internett for å gjøre den søkbar, er dette behandling av personopplysninger.

En rett til å bli glemt? Googles eget forslag til søkeord.

Domstolen lot seg ikke overbevise av Googles argument om at søkemotorer faller utenfor direktivet fordi de ikke skiller mellom personopplysninger og annen informasjon. Ifølge EU-domstolen er det tilstrekkelig at personopplysninger inngår i den informasjonen som behandles. At opplysningene allerede er blitt offentliggjort på Internett av andre og ikke på noe vis endres av Google, hindrer ikke at Google «behandler» opplysningene i direktivets forstand.

2. Google er “registeransvarlig”

For det annet slår dommen fast at et selskap som driver en søkemotor, er å anse som «registeransvarlig» i henhold til personverndirektivet. Google argumenterte forgjeves med at selskapet ikke er registeransvarlig fordi det verken har kjennskap til eller kontroll med informasjonens innhold. En av EU-domstolens medlemmer, generaladvokaten som i juni 2013 kom med sitt forslag til hvordan saken burde løses, sa seg langt på vei enig med Google på dette punkt.

EU-domstolens dommere la imidlertid større vekt på formåls- og konsekvensbetraktninger: Det er viktig at søkemotorselskaper som Google omfattes av direktivet fordi deres virksomhet kan gripe inn i personvernet på et særlig omfattende vis. Google gjør personopplysninger tilgjengelige for enhver internettbruker, herunder internettbrukere som ellers ikke ville funnet frem til den nettside hvor opplysningene er offentliggjort. På sett og vis er jo dette hele poenget med Google. EU-domstolens resonnement er ganske enkelt at det nettopp av denne grunn er viktig at søkemotorselskaper anerkjennes som ansvarssubjekt under direktivet.

3. Gjelder ikke-europeiske selskaper

For det tredje slår dommen fast at personverndirektivet gjelder for ikke-europeiske søkemotorselskaper dersom de har en filial eller et datterselskap i et EU-land som markedsfører og selger reklameplass (slik som Google Spain i den konkrete saken). Google innvendte at selskapets europeiske datterselskaper ikke behandler noen personopplysninger ettersom de ikke har noe som helst med Googles søkemotor å gjøre – Google Search drives av morselskapet Google Inc., som er hjemmehørende i California, USA. EU-domstolen viste imidlertid til at Google Spains salg av reklameplass er uløselig forbundet med driften av søkemotoren og at hensynet til effektiv beskyttelse av borgernes grunnleggende rettigheter tilsier at personverndirektivet må komme til anvendelse også på behandling av personopplysninger som skjer i regi av Google Search.

Dette standpunktet er viktig ikke bare i et personvernperspektiv, men også for den europeiske internettindustriens mulighet til å konkurrere med aktører fra andre verdensdeler. En rettstilstand hvor for eksempel amerikanske selskaper kunne unnslippe EUs personvernlovgivning gjennom å legge all behandling av EU-borgeres personopplysninger til datterselskaper utenfor EU, ville være ødeleggende for europeiske selskapers forsøk på å ta opp konkurransen. EU-domstolens enkle resonnement er at dersom man tjener penger i EU, så kommer EUs personvernlovgivning til anvendelse.

Med dette har domstolen i realiteten foregrepet – og dermed samtidig forhåndsgodkjent – Kommisjonens forslag om at EUs nye personvernforordning skal gjelde også for ikke-europeiske selskaper så lenge disse tilbyr varer eller tjenester i EU. Rettspolitisk er standpunktet velkomment, men det må være lov å karakterisere EU-domstolens tolkning av det territorielle anvendelsesområdet for dagens personverndirektiv som temmelig frisk.

4. Du kan kreve at Google sletter

For det fjerde slår dommen fast at enkeltpersoner kan fremsette et krav om sletting direkte overfor søkemotorselskapene. Google hevdet forgjeves at krav om sletting alltid må rettes mot den som har publisert de aktuelle opplysningene på Internett. EU-domstolen fremhevet imidlertid søkemotorselskapenes selvstendige ansvar for de personopplysninger som de behandler. Også på dette punkt i dommen fremheves søkemotorenes helt sentrale rolle i samfunnet: Søkemotorenes systematisering av personopplysninger som er lagt ut på nettet representerer et mer alvorlig inngrep i personvernet enn den opprinnelige publiseringen av enkeltopplysninger nettopp fordi et googlesøk gjør det mulig å sette sammen en detaljert profil av en person og fordi internettets tilgjengelighet gir informasjonen et allestedsnærværende preg.

Også her legger EU-domstolen avgjørende vekt på formåls- og konsekvensbetraktninger: Når det er resultatlisten etter et googlesøk som er det største problemet for borgere som ønsker å verne om sitt privatliv, er det kort og godt mest effektivt at krav om sletting kan fremmes direkte overfor søkemotorselskapet.

5. Ikke journalistisk unntak for søkemotorer

For det femte innebærer søkemotorselskapenes selvstendige ansvar for de personopplysninger som de behandler at treff kan kreves slettet selv om informasjonen på den aktuelle nettsiden er lovlig publisert. Dette er en meget viktig avklaring, både praktisk og prinsipielt.

Den konkrete tvisten mellom Google og Mario Costeja González er illustrerende. González krevde opprinnelig at også den katalanske avisen som hadde publisert notisen om tvangssalget av boligen hans, skulle fjerne informasjonen fra nettet. Dette kravet ble imidlertid avvist av det spanske datatilsynet, som viste til at personverndirektivet gjør unntak for offentliggjøring av personopplysninger som skjer i journalistisk øyemed. Ifølge EU-domstolen kan ikke søkemotorselskaper som Google påberope seg dette unntaket. Også i tilfeller hvor dette unntaket ikke er aktuelt, kan det tenkes at Google må slette treff selv om det ikke er grunnlag for noe krav om sletting mot den som har publisert de aktuelle opplysningene på Internett. Både hensynet til ytringsfriheten og den omstendighet at offentliggjøring av personopplysninger på en nettside med en begrenset leserkrets representerer et mindre inngrep i privatlivets fred, kan føre til at Google må forholde seg til strengere rettslige krav enn dem som har publisert de aktuelle opplysningene på nettet.

Dommerne mot røkla

Først etter å ha ryddet av veien alle disse underproblemstillingene kunne EU-domstolen gi seg i kast med spørsmålet om personverndirektivet gir borgerne rett til å kreve slettet henvisninger til personopplysninger som i og for seg er riktige, men som vedkommende ønsker at skal «bli glemt». På dette punkt stod Mario Costeja González nokså alene – ikke bare Google, men også EU-kommisjonen og de fleste av de EU-statene som involverte seg i saken mente at direktivet ikke gir opphav til en slik «rett til å bli glemt».

EU-domstolens generaladvokat var av samme oppfatning og uttalte at man i motsatt fall ville «ofre» ytrings- og informasjonsfriheten på personvernets alter. Han advarte også mot en mellomløsning hvor søkemotorselskapene må avveie hensynet til personvernet og hensynet til ytrings- og informasjonsfriheten, fordi dette etter hans oppfatning ville innebære en form for privat sensur av (lovlig) offentliggjort informasjon og dessuten kunne utsette søkemotorselskapene for et uhåndterlig antall krav om sletting. Generaladvokaten påpekte også faren for at søkemotorselskapene ville kunne reagere med nærmest automatisk aksept av alle krav om sletting, noe som potensielt vil få store konsekvenser for informasjonsfriheten.

Enigheten mellom Google, EU-kommisjonen og generaladvokaten er utvilsomt mye av årsaken til at EU-domstolens avvikende standpunkt kom som en betydelig overraskelse. I all enkelhet viser dommen at EU-domstolen legger større vekt på personvernet og mindre vekt på informasjonsfriheten enn forventet. Det er meget interessant hvordan generaladvokatens mange henvisninger til ytringsfriheten forbigås i stillhet. Den nært beslektede informasjonsfriheten nevnes riktignok flere steder, men den klassifiseres ikke som en grunnleggende rettighet av samme rang som personvernet. Tvert imot gjør EU-domstolen det temmelig klart at personvernet som utgangspunkt og hovedregel må gå foran offentlighetens interesse i å finne personopplysninger gjennom googlesøk – som alt nevnt må det foreligge særlige grunner for at informasjonsfriheten skal gå foran personvernet.

Med dette ikke bare foregriper EU-domstolen forslaget om å innføre en rett til å bli glemt som en del av at EUs nye personvernforordning – ved å slå fast at denne retten kan anføres også overfor søkemotorselskaper som Google, går domstolen enda lenger enn EU-kommisjonens forslag.

Uklare praktiske konsekvenser

Når det likevel er vanskelig å si noe sikkert om hvilke praktiske konsekvenser dommen vil få, skyldes det dels at den etterlater flere ubesvarte spørsmål og dels at det gjenstår å se hvordan Google og andre søkemotorselskaper vil innrette seg for å etterleve dommen.

For å ta det siste først: Google har på meget kort tid etablert en midlertidig løsning hvor personer som mener å ha krav på å bli glemt av søkemotoren kan henvende seg til selskapet. Ifølge selskapet mottok man mer enn 12.000 slike krav allerede første dag. Det gjenstår imidlertid å se hvordan Google vil håndtere kravene. EU-domstolen legger opp til at selskapet skal foreta en konkret vurdering av hver enkelt sak, men dette vil være svært ressurskrevende. Det vil dessuten være belastende for Google å bli eksponert som en slags semioffisiell sensurmyndighet. Det er nok derfor ikke utenkelig at generaladvokaten får rett i at selskapet velger å akseptere nær sagt alle krav om sletting. Som et privat selskap har jo ikke Google noen rettslig forpliktelse til å begrense inngrepet i informasjonsfriheten til det strengt nødvendige. Av kommersielle årsaker vil det imidlertid være problematisk for Google dersom andre søkemotorer – som trolig vil få inn langt færre krav om sletting – tar kostnadene med grundigere vurderinger og derfor ender opp med færre «hull» i resultatlistene. Det er derfor forståelig at Google har varslet at man vil tenke nøye gjennom hvordan man skal etterleve EU-domstolens føringer.

Sletting kun av personens navn

I vurderingen av dommens potensielle følger for informasjonsfriheten er det imidlertid viktig å være oppmerksom på at retten til å bli glemt av søkemotorene bare gjelder for søk på en persons navn. Flere av de mest kritiske kommentatorene synes å ha oversett dette vesentlige poenget. Selv om søk på Mario Costeja González’ navn ikke lenger vil vise til avisnotisen om tvangssalget av boligen hans, så vil notisen fortsatt dukke opp om man søker etter tvangsauksjoner i Katalonia e.l.

Blant de nye spørsmål som dommen gir opphav til, er det kanskje særlig unntaket for offentlige personer som må utdypes gjennom fremtidige rettsavgjørelser: Når foreligger det «[a] preponderant interest of the general public» som tilsier at informasjonsfriheten må gå foran personvernet? Og hva om Google for enkelhets skyld sletter mer enn påkrevd? Skal medier som på dette vis blir «sensurert» av Google kunne påklage dette? Hvis ja, hvordan og til hvem?

Dommere setter grenser for politikk

Listen over ubesvarte spørsmål kunne imidlertid enkelt vært gjort lengre. Saken er ganske enkelt at det nesten 20 år gamle personverndirektivet ikke er tilpasset søkemotorenes virksomhet. Forslaget til en ny personvernforordning vil i noen grad avhjelpe dette, men etter dommen fra EU-domstolen bør EUs lovgivende organer klargjøre hvilke følger ulike bestemmelser i den nye forordningen vil få for søkemotorselskapene.

EU-lovgivers muligheter for å skreddersy nye personvernregler for søkemotorselskaper er imidlertid nå begrenset av EU-domstolens syn på avveiningen mellom personvernet og informasjonsfriheten. Domstolens tolkning av artikkel 7 og 8 i EUs Charter om grunnleggende rettigheter etablerer en rettslig ramme som bare kan mykes opp gjennom endring av selve EU-traktaten, noe som er temmelig upraktisk. Dommen er av denne grunn et meget klart uttrykk for rettsliggjøring av det som i realiteten er vanskelige politiske avveininger: I EU er det til syvende og sist opp til juristene i EU-domstolen, ikke politikerne i EUs lovgivende organer, å avveie personvernet mot informasjonsfriheten.

Kronglete og lite prinsipielt

Uavhengig av hva man måtte mene om den avveiningen som EU-domstolen kom frem til, så er det problematisk at dommen ikke akkurat er lettlest. Domsgrunnene er kronglete, tekniske og postulerende snarere enn åpent drøftende. Generaladvokatens innvendinger forbigås i stillhet og det gis ikke egentlig noen prinsipiell begrunnelse for den avveiningen av personvernet mot informasjonsfriheten som deretter legges til grunn for tolkningen av de ulike bestemmelsene i personverndirektivet. Relevant rettspraksis fra Menneskerettighetsdomstolen i Strasbourg omtales ikke med ett eneste ord. Og forbudet mot offentlige dissenser leder til at man ikke får vite om det var intern uenighet i dommerkollegiet.

Kontrasten er stor til de åpne og prinsipielt anlagte votaene man kunne forventet fra for eksempel U.S. Supreme Court i en tilsvarende sak. Amerikanske kommentatorer har nok fått med seg at man i Europa avveier personvernet og informasjonsfriheten på en annen måte enn i USA, men det er svært tvilsomt om EU-domstolens begrunnelse er egnet til å overbevise noen på den andre siden av Atlanterhavet.

Hva så med Norge? Som alt nevnt er personverndirektivet innlemmet i EØS-avtalen. I praksis vil derfor EU-domstolens avveining av personvernet mot informasjonsfriheten være styrende også for Norge. Hva norske jurister og politikere måtte mene om spørsmålet er derfor sørgelig uinteressant – her som ellers er vi i realiteten henvist til å ta utviklingen i EU til etterretning.

Gitt den tidvis meget opphetede politiske diskusjonen knyttet til datalagringsdirektivet, ikke minst i kjølvannet av avsløringene av amerikanske myndigheters omfattende overvåkning av nær sagt enhver form for elektronisk kommunikasjon, kunne EU-domstolen kunne knapt valgt en bedre sak for å demonstrere at den tar EU-borgernes grunnleggende rettigheter på alvor.

Forbausende klar dom

Vel så oppsiktsvekkende som utfallet er dommens premisser. EU-domstolen er nemlig forbausende klar: Direktivets regler om datalagring representerer et meget omfattende og særlig alvorlig inngrep i retten til respekt for privatlivet og til beskyttelse av personopplysninger.

EU-domstolens bygninger i Luxembourg (foto: EU-domstolen).

Dommerne anerkjenner riktignok at direktivet forfølger et legitimt formål (kriminalitetsbekjempelse) og de slår også fast at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata, men de er samtidig meget klare på at det må foretas en streng kontroll av om EUs lovgivende organer har sørget for å begrense inngrepet i borgernes grunnleggende rettigheter til det strengt nødvendige. Utfallet av denne kontrollen er oppløftende for personvernet og tilsvarende nedslående for EU-kommisjonen, Europaparlamentet og medlemsstatene som stemte for direktivet i Rådet: Direktivet favner for vidt ved at det på generelt vis krever lagring av alle trafikkdata, uten at der foretas noen sondring, begrensning eller unntak tilpasset det angitte formålet om bekjempelse av grov kriminalitet. Direktivet inneholder heller ingen definisjon av begrepet grov kriminalitet – dette er overlatt til medlemsstatene. Og myndighetenes tilgang til lagrede teledata er heller ikke betinget av samtykke fra en uavhengig instans (en domstol eller et uavhengig forvaltningsorgan).

Ugyldig — med “tilbakevirkende” kraft

Også varigheten av lagringen slår EU-domstolen ned på: Direktivet knesetter en minste lagringstid på seks måneder uten å sondre mellom ulike typer data eller deres nytteverdi i forhold til formålet om kriminalitetsbekjempelse. Og direktivet åpner for lagring helt opp til to år, uten å angi noen kriterier for å sikre at data ikke lagres lenger enn strengt nødvendig. Direktivet sikrer heller ikke ugjenkallelig sletting av data etter lagringsperiodens utløp.

Endelig – og vel med en dårlig skjult henvisning til amerikanske myndigheter – kritiserer EU-domstolen den omstendighet at direktivet ikke krever at dataene skal lagres i EU. Muligheten for lagring utenfor EU medfører at direktivet ikke sikrer at lagringen vil være under EU-rettslig kontroll, noe som ifølge domstolen er helt avgjørende for å sikre at lagringen skjer i overensstemmelse med EU-borgernes grunnleggende rettigheter.

Konklusjonen er knusende: Datalagringsdirektivet er ugyldig. EU-domstolen finner derfor ikke engang grunn til å gå inn på spørsmålet om direktivet også er i strid med ytringsfriheten. Og enda viktigere – i motsetning til domstolens egen generaladvokat er ikke dommerne villige til å holde direktivet kunstig i live inntil EU eventuelt kommer opp med nye, mer begrensede og mer presise regler om lagring av trafikkdata. Dommen rammer følgelig med «tilbakevirkende» kraft: Direktivet har aldri vært gyldig. En konsekvens av dette er blant annet at medlemsstater som tidligere er blitt bøtelagt for ikke å ha overholdt direktivets gjennomføringsfrist, nå kan kreve bøtene tilbakebetalt fra Kommisjonen. Med renter.

Begrenser politikernes handlingsrom

Selv om det er riktig at EU-domstolen ikke stenger døren for enhver form for lagring av teledata, så inneholder dommen meget klare føringer for EUs og medlemsstatenes politiske handlingsrom.

For det første er det grunn til å merke seg domstolens påpekning av at lagring og hemmelig bruk av alle slike data er et skritt i retning av et overvåkingssamfunn:

[T]he fact that data are retained and subsequently used without the subscriber or registered user being informed is likely to generate in the minds of the persons concerned the feeling that their private lives are the subject of constant surveillance (avsnitt 37).

Dommen lest under ett etterlater liten tvil om at EU-domstolen ikke anser dette som noen ønskelig utvikling, for å uttrykke det forsiktig.

Dommerne ved EU-domstolen (foto: EU-domstolen).

For det annet er dommernes anerkjennelse av at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata interessant fordi den er knyttet til den omstendighet at datalagringsdirektivet ikke krever lagring av innholdet i kommunikasjonen. EU-domstolen formulerer seg her på et vis som mer enn antyder at generell lagring av innhold aldri kan rettferdiggjøres (avsnitt 39). I kjølvannet av Snowden-avsløringene kan dette være en rettslig avklaring av større praktisk betydning enn man skulle ønske.

For det tredje er EU-domstolens generelle tilnærming til EU-lovgivers handlingsrom meget interessant: Dommerne slår fast at personvernet er så viktig, og inngrepet som lagringen innebærer så alvorlig, at lovgivernes handlingsrom er begrenset og domstolskontrollen tilsvarende streng:

[I]n view of the important role played by the protection of personal data in the light of the fundamental right to respect for private life and the extent and seriousness of the interference with that right caused by Directive 2006/24, the EU legislature’s discretion is reduced, with the result that review of that discretion should be strict (avsnitt 48).

Dette vil gjelde tilsvarende både for et eventuelt nytt datalagringsdirektiv og for eventuelle nasjonale særlover om datalagring. Og både nasjonale domstoler og menneskerettsdomstolen i Strasbourg må forventes å følge samme tilnærming. Dommen gir med dette også et viktig bidrag i den generelle diskusjonen om maktfordelingen mellom lovgivere og domstoler i konstitusjonelle demokratier. Her vil nok oppfatningene være delte, både blant politikere, jurister, statsvitere og andre. Det er ikke til å komme forbi at de 15 dommerne i EU-domstolens storkammer gjennom denne dommen har satt sin vurdering av avveiningen mellom personvern og kriminalitetsbekjempelse over vurderingen til Europaparlamentet og medlemsstatenes representanter i Rådet, men i motsatt fall ville det ikke være noen realitet i EU-rettens beskyttelse av grunnleggende menneskerettigheter.

EU-dommen, EØS og Norge

Hvilken betydning har dommen så for Norge? Politisk er den direkte pinlig for datalagringsdirektivets forkjempere, men rettslig er betydningen mer indirekte. I motsetning til det mange synes å tro, er datalagringsdirektivet ikke innlemmet i EØS-avtalen. Takket være det islandske Alltingets prinsippfaste motstand mot direktivet er det derfor ikke noe behov for å ta direktivet ut av EØS-avtalen. Den norske lovgivningen som skulle gjennomføre direktivet ble som kjent vedtatt med knapp margin i Stortinget allerede i 2011, men den er ikke trådt i kraft og regjeringen har nå klokelig varslet at den heller ikke kommer til å gjøre det.

EØS-avtalen er ikke til hinder for at norske myndigheter på eget initiativ vedtar nye regler om lagring av teledata, men indirekte vil EU-domstolens dom legge føringer for myndighetenes handlingsrom: Bestemmelsene i EUs pakt om grunnleggende rettigheter som EU-domstolen anvendte i dommen, gjenfinnes i Den europeiske menneskerettighetskonvensjonen som Norge er tilknyttet og som gjennom menneskerettsloven fra 1999 har lovs kraft i Norge.

EU-domstolens dom inneholder flere henvisninger til praksis fra Menneskerettighetsdomstolen, og det er liten grunn til å tro at domstolen i Strasbourg vil innrømme myndighetene noe større handlingsrom enn det EU-domstolen har lagt til grunn. Eventuelle nye norske regler om datalagring må derfor tåle inngående rettslig overprøving av om de er strengt nødvendige for å bekjempe grov kriminalitet og om de dertil tilbyr tilstrekkelige garantier mot misbruk osv. Det er derfor en tung argumentasjonsbyrde som EU-domstolen har lagt på myndighetene.

Også dersom EU skulle forsøke seg med et nytt, forutsetningsvis mindre omfattende og mer presist, direktiv om datalagring, kan EU-domstolens dom vise seg meget viktig for Norge: Et av kravene fra EU-domstolen er mer presise regler om hva de lagrede dataene kan brukes til. Dette forutsetter at et eventuelt nytt direktiv beveger seg lenger inn på strafferettens område. EUs kompetanse til å gjøre dette er kontroversiell internt i EU, men enda mer så i EØS-rettslig sammenheng: Strafferettslige regler faller i utgangspunktet utenfor EØS-avtalen. EØS-relevansen av et eventuelt nytt datalagringsdirektiv vil derfor være enda mer tvilsom enn EØS-relevansen av det direktivet som EU-domstolen nå har underkjent.

Prinsipiell etterpåklokskap

Avslutningsvis er det grunn til å reflektere over hvor langsomt fru Justitias kvern maler: Datalagringsdirektivet ble vedtatt i EU våren 2006. Det tok altså mer enn åtte år før EU-domstolen erklærte det ugyldig. Underveis har det vært flere saker for domstolen hvor den kunne tatt stilling til spørsmålet om den hadde villet, men hvor den dekket seg bak prosessuelle regler og lot gyldighetsspørsmålet henge i luften. Dette kan selvsagt kritiseres. Men kanskje gjorde EU-domstolen likevel klokt i å utsette spørsmålet til det virkelig kom på spissen?

Det kan neppe utelukkes at avstanden i tid fra terrorangrepene i New York i 2001, i Madrid i 2004 og i London i 2005 gjorde det lettere for EU-domstolen å slå ned på EU-lovgivers manglende respekt for personvernet. Fordelen med tregheten i den rettslige etterprøvingen er at det gir rom for prinsipiell etterpåklokskap. I tilfeller hvor betingelsene på vedtakstidspunktet kanskje ikke har vært de beste for prinsipielle diskusjoner, er det slett ikke så dumt.