In den Ausgangsfällen hatten Gerichte aus Großbritannien, Frankreich und Belgien dem EuGH die Frage vorgelegt, ob ihre nationalen Bestimmungen sich mit dem EU-Recht vereinbaren lassen. Bürgerrechtsorganisationen wie die britische „Privacy International“ und die französische „La Quadratur du Net“ hatten Klagen gegen innerstaatliche Bestimmungen erhoben, die eine flächendeckende präventive Speicherung von Standortdaten erlauben.
Der EuGH bekräftigte seine bisherige Rechtsprechung, nach der die anlasslose Datensammlung gegen grundlegende Bürgerrechte verstößt und demnach unzulässig ist. Es könnten aber Ausnahmen gelten, wenn etwa die nationale Sicherheit eines Staates akut bedroht werde oder die Datenspeicherung zur Bekämpfung schwerer Kriminalität erforderlich sei.
Speicherung muss auf Zeitraum, Personen und Orte beschränkt werden
Im Falle einer akuten Bedrohung der nationalen Sicherheit, zum Beispiel wegen der Gefahr eines Terroranschlags, soll die Datenspeicherung vorübergehend für einen im Voraus festgelegten Zeitraum angeordnet werden dürfen. Dabei muss die Maßnahme auf bestimmte Personen oder Orte begrenzt werden. Außerdem soll die Speicherung von IP-Adressen erlaubt sein, um zu ermitteln, welche Personen Inhalte ins Netz eingestellt haben. Dies könnte vor allem bei der Bekämpfung von Kinderpornografie im Internet relevant werden. In jedem Fall müssten die nationalen Gesetzgeber aber Regelungen schaffen, die eine Kontrolle durch ein Gericht oder ein unabhängiges Gremium ermöglichen.
Die Gerichte der Mitgliedsstaaten haben nun zu prüfen, ob ihre gesetzlichen Bestimmungen diesen Vorgaben genügen. In Deutschland wurde im Jahr 2015 ein Gesetz zur Vorratsdatenspeicherung verabschiedet, das jedoch bisher nicht angewandt wird. Denn Internetanbieter und Verbraucherschützer haben dagegen Klagen erhoben, die derzeit beim Bundesverwaltungsgericht und beim EuGH anhängig sind.