Luxembourg, 4 October 2024
Judgment of the Court in Case C-548/21 | Bezirkshauptmannschaft Landeck (Attempt to access personal data stored on a mobile telephone)
Access by the police to data contained in a mobile telephone is not necessarily limited to the fight against serious crime
—
It presupposes, however, prior authorisation by a court or an independent authority and must be proportionate
Access by the police, in the context of a criminal investigation, to the personal data stored on a mobile telephone may constitute a serious, or even particularly serious, interference with the fundamental rights of the data subject. However, it is not necessarily limited to the fight against serious crime. The national legislature must define the factors to be taken into account for such access, such as the nature or categories of the offences concerned. In order to ensure compliance with the principle of proportionality in each specific case, the examination of which involves weighing all the relevant factors of the individual case, that access must, moreover, be subject to prior authorisation by a court or an independent authority, save in duly substantiated cases of urgency. The data subject must be informed of the grounds for the authorisation as soon as the provision of this information is no longer likely to jeopardise the investigations.
The Austrian police seized the mobile telephone of the recipient of a parcel following the finding, during a narcotics check, that that package contained 85 grams of cannabis. Next, it attempted in vain to unlock the mobile telephone in order to access the data contained therein. It did not have an authorisation from the Public Prosecutor’s Office or a court, did not document its attempt to unlock the telephone and did not inform the person concerned thereof.
That person challenged the seizure of his mobile telephone before an Austrian court. It is only in the context of those proceedings that he became aware of the attempts to unlock that telephone. The Austrian court asks the Court of Justice whether the Austrian legislation which, in its view, 1 allows the police to act in this way is compatible with EU law. 2 It observes that the offence of which the person concerned is accused is punishable by a maximum of one year’s imprisonment and therefore constitutes only a minor offence.
The Court of Justice states, first of all, that, contrary to what certain governments have argued, the relevant EU legislation applies not only in the event of successful access to personal data contained in a mobile telephone, but also to an attempt to access those data.
Next, it finds that access to all the data contained in a mobile telephone may constitute a serious, or even particularly serious, interference with the fundamental rights of the data subject. Indeed, those data, which may include messages, photos and internet browsing history, may, depending on the circumstances, allow very precise conclusions to be drawn concerning that data subject’s private life. In addition, they may include particularly sensitive data.
The seriousness of the offence under investigation is one of the main parameters when examining the proportionality of such serious interference. However, to consider that only the fight against serious crime is capable of justifying access to data contained in a mobile telephone would unduly limit the investigative powers of the competent authorities. This would result in an increased risk of impunity for criminal offences in general and therefore in a risk for the creation of an area of freedom, security and justice in the European Union. That being said, such an interference with private life and data protection must be provided for by law, which implies that the national legislature must define with sufficient precision the factors to be taken into account, in particular the nature or categories of offences concerned.
Such access must, moreover, be subject to a prior review carried out either by a court or an independent administrative authority, save in duly substantiated cases of urgency. 3 That review must strike a fair balance between, on the one hand, the legitimate interests relating to the needs of the investigation in the context of combating crime and, on the other, the fundamental rights to private life and the protection of personal data.
Last, the data subject must be informed of the grounds on which the authorisation to access his or her data is based, as soon as the communication of that information is no longer liable to jeopardise the investigations. 4
NOTE: A reference for a preliminary ruling allows the courts and tribunals of the Member States, in disputes which have been brought before them, to refer questions to the Court of Justice about the interpretation of EU law or the validity of an EU act. The Court of Justice does not decide the dispute itself. It is for the national court or tribunal to dispose of the case in accordance with the Court’s decision, which is similarly binding on other national courts or tribunals before which a similar issue is raised.
Unofficial document for media use, not binding on the Court of Justice. The full text and, as the case may be, an abstract of the judgment is published on the CURIA website on the day of delivery.
—
1 It should be noted that the Austrian Government maintained before the Court of Justice that, under Austrian law, an order of the Public Prosecutor’s Office is required to seize a mobile telephone or to attempt to access data in it. In a preliminary ruling procedure, the Court is, in principle, required to take as a basis the national regulatory framework as presented by the referring court. The same is also true of the factual background.
2 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data.
3 In that case, the review must be carried out promptly.
4 In the present case, the data subject knew that his mobile telephone had been seized when the Austrian police authorities attempted in vain to unlock it in order to access the data contained therein. Under those circumstances, to inform him that those authorities were going to attempt to access that data does not appear to be liable to jeopardise the investigations; accordingly, he should have been informed thereof beforehand.
Source – EU Court of Justice: 171/2024 : 4 October 2024 – Judgment of the Court of Justice in Case C-548/21
Urteil des Gerichtshofs in der Rechtssache C-548/21 | Bezirkshauptmannschaft Landeck (Zugriffsversuch auf die auf einem Mobiltelefon gespeicherten personenbezogenen Daten)
Der Zugang der Polizei zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten ist nicht zwingend auf die Bekämpfung schwerer Kriminalität beschränkt
—
Er bedarf jedoch der vorherigen Genehmigung durch ein Gericht oder eine unabhängige Behörde und muss verhältnismäßig sein
Der Zugang der Polizei zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten im Rahmen strafrechtlicher Ermittlungen kann einen schwerwiegenden oder sogar besonders schwerwiegenden Eingriff in die Grundrechte der betroffenen Person darstellen. Gleichwohl ist er nicht zwingend auf die Bekämpfung schwerer Kriminalität beschränkt. Der nationale Gesetzgeber muss die bei einem solchen Zugang zu berücksichtigenden Gesichtspunkte, wie die Art oder die Kategorien der betreffenden Straftaten, definieren. Um sicherzustellen, dass der Grundsatz der Verhältnismäßigkeit in jedem Einzelfall durch eine Gewichtung aller relevanten Gesichtspunkte dieses Falles gewahrt wird, muss der Zugang zudem, außer in hinreichend begründeten Eilfällen, von einer vorherigen Genehmigung durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden. Die betroffene Person muss über die Gründe für die Genehmigung informiert werden, sobald die Übermittlung dieser Informationen die Ermittlungen nicht mehr beeinträchtigen kann.
Die österreichische Polizei stellte das Mobiltelefon des Adressaten eines Pakets sicher, nachdem im Zuge einer Suchtmittelkontrolle festgestellt wurde, dass sich in diesem Paket 85 g Cannabiskraut befanden. Sodann versuchte sie vergeblich, das Mobiltelefon zu entsperren, um Zugang zu den darauf gespeicherten Daten zu erlangen. Sie verfügte nicht über eine Genehmigung der Staatsanwaltschaft oder eines Richters, dokumentierte ihre Entsperrungsversuche nicht und informierte den Betroffenen nicht über sie.
Der Betroffene erhob bei einem österreichischen Gericht Beschwerde gegen die Sicherstellung seines Mobiltelefons. Erst im Rahmen dieses Verfahrens erlangte er Kenntnis von den Entsperrungsversuchen. Das österreichische Gericht möchte vom Gerichtshof wissen, ob die österreichische Regelung, die nach seinen Angaben1 der Polizei diese Vorgehensweise ermöglicht, mit dem Unionsrecht2 vereinbar ist. Es führt aus, dass die dem Betroffenen zur Last gelegte Straftat mit Freiheitsstrafe bis zu einem Jahr bedroht sei und daher nur ein Vergehen darstelle.
Der Gerichtshof stellt zunächst klar, dass die einschlägige Unionsregelung entgegen dem Vorbringen einiger Regierungen nicht nur für den Fall eines erfolgreichen Zugriffs auf die auf einem Mobiltelefon gespeicherten personenbezogenen Daten gilt, sondern auch für einen Versuch, Zugang zu ihnen zu erlangen.
Sodann stellt er fest, dass der Zugang zu allen auf einem Mobiltelefon gespeicherten Daten einen schwerwiegenden oder sogar besonders schwerwiegenden Eingriff in die Grundrechte der betroffenen Person darstellen kann. Solche Daten, die Nachrichten, Fotos und den Verlauf der Navigation im Internet umfassen können, lassen nämlich unter Umständen sehr genaue Schlüsse auf das Privatleben dieser Person zu. Außerdem können zu ihnen auch besonders sensible Daten gehören.
Die Schwere der Straftat, die Gegenstand der Ermittlungen ist, stellt einen der zentralen Parameter bei der Prüfung der Verhältnismäßigkeit eines solchen schwerwiegenden Eingriffs dar. Falls nur die Bekämpfung schwerer Kriminalität den Zugang zu auf einem Mobiltelefon gespeicherten Daten rechtfertigen könnte, würden jedoch die Ermittlungsbefugnisse der zuständigen Behörden unangemessen eingeschränkt. Daraus würde sich eine erhöhte Gefahr der Straflosigkeit von Straftaten im Allgemeinen und damit eine Gefahr für die Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union ergeben. Ein solcher Eingriff in das Privatleben und den Datenschutz muss allerdings gesetzlich vorgesehen sein; dies impliziert, dass der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insbesondere die Art oder die Kategorien der betreffenden Straftaten, hinreichend präzise definieren muss.
Ein solcher Zugang muss ferner von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden, außer in hinreichend begründeten Eilfällen3. Diese Kontrolle muss für einen gerechten Ausgleich zwischen den berechtigten Interessen, die sich aus den Erfordernissen der Ermittlungen im Rahmen der Kriminalitätsbekämpfung ergeben, und den Grundrechten auf Achtung des Privatlebens und den Schutz personenbezogener Daten sorgen.
Schließlich muss die betroffene Person über die Gründe, auf denen die Genehmigung des Zugriffs auf ihre Daten beruht, informiert werden, sobald die Übermittlung dieser Informationen die Ermittlungen nicht mehr beeinträchtigen kann4.
HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit.
Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.
Zur Verwendung durch die Medien bestimmtes nicht amtliches Dokument, das den Gerichtshof nicht bindet. Der Volltext und gegebenenfalls die Zusammenfassung des Urteils wird am Tag der Verkündung auf der Curia- Website veröffentlicht.
—
1 Die österreichische Regierung hat vor dem Gerichtshof vorgetragen, nach österreichischem Recht sei eine Anordnung der Staatsanwaltschaft erforderlich, um ein Mobiltelefon sicherzustellen oder um zu versuchen, Zugang zu auf diesem Telefon gespeicherten Daten zu erlangen. Im Rahmen eines Vorabentscheidungsverfahrens muss sich der Gerichtshof aber grundsätzlich auf den ihm vom vorlegenden Gericht unterbreiteten nationalen Regelungsrahmen stützen. Dies gilt auch für den sachlichen Rahmen.
2 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr.
3 Dann muss die Kontrolle kurzfristig erfolgen.
4 Im vorliegenden Fall wusste die betroffene Person, dass ihr Mobiltelefon sichergestellt worden war, als die österreichischen Polizeibehörden vergeblich versuchten, es zu entsperren, um auf die darauf gespeicherten Daten zuzugreifen. Unter diesen Umständen ist nicht ersichtlich, dass ihre Unterrichtung über den Zugriffsversuch der Polizeibehörden auf diese Daten geeignet gewesen wäre, die Ermittlungen zu beeinträchtigen, so dass sie davon vorab in Kenntnis hätte gesetzt werden müssen.
Quelle – EuGH – 171/2024 : 4. Oktober 2024 – Urteil des Gerichtshofs in der Rechtssache C-548/21