Denne uofficielle tekniske gennemgang af lovforslag L 93 fra IT-Politisk Forening omhandler § 786 f, som giver Justitsministeren mulighed for at lave bekendtgørelser om logning af internettrafik. "Kan § 786 f omfatte sessionslogning?", har nogen spurgt os

TL;DR Næppe. I lovforslagets bemærkninger bruger Justitsministeriet først og fremmest sessionslogning som et røgslør for at undgå at lave de lovændringer vedrørende internetlogning, som tilpasning til EU-retten kræver.

Den påstand kræver selvfølgelig en forklaring!

EU-retten om logning af IP-adresser

EU-Domstolen har i tre domme (2014, 2016 og 2020) udtalt, at EU-retten er til hinder for en generel og udifferentieret logningspligt for alle trafikdata med henblik på bekæmpelse af grov kriminalitet. Det samme gælder naturligvis også almindelig (ikke-grov) kriminalitet.

I LQDN-dommen af 6. oktober 2020 er der dog en undtagelse. EU-retten tillader generel og udifferentieret (alle brugere) logningspligt for IP-adressen, som er tildelt kilden til en forbindelse, hvis det sker med henblik på bekæmpelse af grov kriminalitet.

I præmis 168 er det formuleret på denne måde:

Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger [...] der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige.

EU-Domstolen bruger altid lange sætninger, så de tre vigtigste elementer er fremhævet med boldface: ikke til hinder (altså tilladt), bekæmpelse af grov kriminalitet (formålsbegrænsning) og IP-adressen tildelt kilden til en forbindelse (hvilke data der må logges).

Den nærmere begrundelse for hvorfor generel og udifferentieret logning tillades for IP-adressen tildelt kilden til en forbindelse, men ikke øvrige trafikdata, fremgår af dommens præmis 152-156. EU-Domstolen er klar over at logning af tildelt IP-adresse er et alvorligt indgreb, og derfor er det kun grov kriminalitet som kan retfærdiggøre dette indgreb.

Nødvendige ændringer af dansk lov

I logningsbekendtgørelsens § 5, stk. 1 er der i dag en generel og udifferentieret logningspligt for den tildelte IP-adresse. Formålet er dog ikke begrænset til grov kriminalitet, og politiet får adgang til oplysningerne via den almindelige editionsregel i retsplejelovens § 804 (alle sager undergivet offentlig påtale).

(Adgang til oplysninger om tildelt IP-adresse i praksis sige: finde ud af hvilken person, der har anvendt en bestemt IP-adresse til at tilgå services på internettet, typisk via en IP-adresse som er fundet i en ekstern logfil eller oplyst af en tjenesteudbyder som Outlook).

Tilpasning til EU-retten vil derfor kræve en formel formålsbegrænsning i selve logningspligten hos internetudbydere, samt en ny bestemmelse i retsplejelovens kapitel 74 (edition m.v.) som regulerer politiets adgang til disse oplysninger, hvor der skal være materielle og processuelle betingelser som begrænser adgangen til sager om grov kriminalitet. Det kunne være noget i retning af § 804 a i lovforslaget, hvor der i hvert fald er et kriminalitetskrav.

Det vil Justitsministeriet imidlertid ikke. Ligesom en række andre steder i det 115-siders lange og komplicerede lovforslag har Justitsministeriet jagtet en smutvej uden om LQDN-dommen, så de kan undlade at ændre noget som helst i logningsreglerne i forhold til logning af internettrafik.

Justitsministeriet fortolkning af LQDN-dommen

Justitsministeriet har den opfattelse, at præmis 152-156 i LQDN-dommen alene vedrører sessionslogning, hvor der sker registrering af besøgte hjemmesider. Sessionslogning er velkendt i Danmark, fordi det var en del af logningsbekendtgørelsen indtil juni 2014.

Logning af den tildelte IP-adresse, svarende til § 5, stk. 1 i logningsbekendtgørelsen, falder efter Justitsministeriets opfattelse ind under præmis 157-159 i LQDN-dommen om lagring af identiteten på brugerne af elektroniske kommunikationsmidler. Her er der ikke noget krav om, at lagringen skal være begrænset til bekæmpelse af grov kriminalitet. Der er i øvrigt heller noget krav om at lagringen skal være tidsmæssigt begrænset, formentlig fordi identitet på brugerne er statiske oplysninger som navn og adresse.

Med denne fortolkning kan de danske retsregler om internetlogning fortsætte uden ændringer.

Justitsministeriets fortolkning er forkert

Først og fremmest står der klart i præmis 168 og dommens endelige konklusioner, at præmis 152-156 gælder for IP-adressen tildelt kilden til en forbindelse (source IP-adresse). IP-adresser for de besøgte hjemmesider (som registreres med sessionslogning) er destinationen for internetforbindelsen, ikke kilden.

Efter Justitsministeriets fortolkning skulle EU-retten tillade generel og udifferentieret logning af besøgte hjemmesider m.v. (sessionslogning) med henblik på bekæmpelse af grov kriminalitet, samtidig med at EU-retten til det samme formål ikke tillader generel og udifferentieret logning af metadata (trafikdata) for telefonopkald. Det er virkelig ikke særligt logisk, fordi sessionslogning (med en fuldstændig kortlægning af en persons brug af internettet) må være langt mere indgribende end logning af metadata for telefonopkald, og EU-Domstolens domme om logning er gennemsyret af proportionalitetsovervejelser.

Justitsministeriet overser også, at EU-Domstolen andetsteds i LQDN-dommen faktisk kommer ind på sessionslogning. I præmis 174 om den automatiske analyse af trafikdata og lokaliseringsdata i Frankrig (for alle personer) omtales dette indgreb som særligt alvorligt, og denne konstatering gælder ”så meget desto mere når de data, der er genstand for den automatiserede analyse [..] kan afsløre arten af de oplysninger, der er blevet tilgået online.”

Den fremhævede tekst må være en beskrivelse af sessionslogning eller tilsvarende automatisk analyse af trafikdata, og ”så meget desto mere” må sammenligne sessionslogning med anden generel og udifferentieret lagring af trafikdata. Under alle omstændigheder er præmis 174 er i den del af dommen, hvor lagring/analyse kun tillades, hvis der er en alvorlig trussel mod den nationale sikkerhed, som er reel og aktuel eller forudsigelig.

Det udelukker derfor, at præmis 152-156 kan vedrøre sessionslogning (Justitsministeriets opfattelse), da indgrebet i præmis 152-156 begrundes med bekæmpelse af grov kriminalitet.

Justitsministeriets kommentar til høringssvarene

IT-Politisk Forening har selvfølgelig protesteret mod Justitsministeriets fortolkning, se punkt 73-88 i vores høringssvar hvor der er meget detaljerede argumenter med henvisning til præmisser i domme. Der er også indvendinger fra andre høringsparter.

Det er der ikke kommet noget ud af. På side 37-41 i høringsnotatet gentager Justitsministeriet blot sin opfattelse, at præmis 152-156 i LQDN-dommen alene vedrører sessionslogning.

Så derfor forsætter den nuværende internetlogning og politiets alt for omfattende brug af disse oplysninger, hvis altså Folketinget vedtager L 93 uden ændringer.

I strid med EU-retten, vel at mærke. Der må godt ske logning af tildelt IP-adresse for alle brugere, men fordi denne lagringspligt er så alvorligt et indgreb i grundlæggende rettigheder, må oplysningerne kun bruges i sager om grov kriminalitet.

Giver § 786 f mulighed for at indføre sessionslogning?

Retsplejelovens § 786 f om internetlogning skal udmøntes i en bekendtgørelse, som vi endnu ikke har set et udkast til. Ud fra bemærkningerne i lovforslaget synes det at være hensigten, at den nuværende § 5, stk. 1 i logningsbekendtgørelsen skal udvides med noget CG-NAT logning, så det er muligt at skelne mellem flere brugere som deler en offentlig IP-adresse. I teorien altså, men det er et emne for en anden teknisk gennemgang (se punkt 94-104 i vores høringssvar om ulemper og begrænsninger ved CG-NAT logning).

I forhold til sessionslogning står der følgende i bemærkningerne:

Der vil ikke efter forslaget kunne fastsættes regler om, at udbydere løbende skal foretage registrering af, hvilke hjemmesider, chatrooms m.v. kunderne besøger. Hensigten med forslaget er alene at kunne føre elektroniske spor, der findes på internettet i forbindelse med kriminelle aktiviteter, tilbage til gerningsmændene.

Det burde definitivt udelukke, at der efter § 786 f kan fastsættes regler om sessionslogning i den kommende bekendtgørelse. Der er dog en lille forbehold.

I bemærkningerne til den nuværende logningsbestemmelse i retsplejeloven (§ 786 d) fra 2001 står der præcist det samme (side 853), og det forhindrede som bekendt ikke Justitsministeriet i at tilføje sessionslogning til logningsbekendtgørelsen i 2007.

Vi vil dog anse det for meget usandsynligt, at der kommer regler om sessionslogning. Dels fordi der virkelig ikke er hjemmel i lovforslaget, jf. Justitsministeriets egne bemærkninger ovenfor, dels fordi sessionslogning var en kæmpe fiasko i 2007-2014.