När internetleverantören Bahnhof vägrade lämna ut användaruppgifter till polisen blev det inte bara ännu en juridisk tvist mellan ett bolag och en myndighet. Det blev i stället en av de tydligaste svenska konflikterna mellan statens intresse av brottsbekämpning och ett privat företags påstående att kundernas integritet måste försvaras även när trycket från myndigheter är hårt. I centrum stod frågan om vilka uppgifter polisen skulle få tillgång till, hur de hade lagrats och om svensk lag verkligen gick att förena med EU-rätten.
Bahnhof hade redan sedan länge byggt en profil som internetleverantören som gärna gick i konflikt med övervakning, datalagring och breda utlämnanden av kunduppgifter. Företaget beskriver själv säkerhet och integritet som en utgångspunkt i verksamheten, inte som ett tillval, och just den hållningen blev avgörande när polisen begärde ut abonnemangsuppgifter och bolaget sade nej. Det som följde var ett principiellt bråk som fick långt större betydelse än själva de enskilda uppgifter som myndigheterna ville ha ut.
Bakgrunden fanns i den svenska datalagringen och i en växande konflikt med EU-rätten
För att förstå varför Bahnhof satte sig på tvären måste man backa några år. Efter att EU:s datalagringsdirektiv ogiltigförklarades 2014 blev rättsläget osäkert i stora delar av Europa, men i Sverige levde reglerna om lagring av trafikuppgifter vidare i någon form samtidigt som operatörer, jurister och myndigheter drog olika slutsatser om vad som faktiskt gällde. Bahnhof hörde till de mest högljudda kritikerna och såg frågan som större än bara teknisk efterlevnad. För bolaget handlade det om staten kunde kräva generell lagring och senare också åtkomst till uppgifter utan att detta stred mot grundläggande rättigheter.
Den stora vändpunkten kom när EU-domstolen i december 2016, i det uppmärksammade Tele2 Sverige och Watson-målet, slog fast att EU-rätten hindrar generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter och att åtkomst till sådan data inte kan ske utan starka rättssäkerhetsgarantier. Det här blev ett centralt stöd för operatörer som ville ifrågasätta svenska regler, och Bahnhof använde den rättsutvecklingen som en grund för sin linje. Bolaget menade i praktiken att staten inte kunde kräva utlämnande av data som ytterst vilade på en lagringsmodell som stod i konflikt med unionsrätten.
Det konkreta bråket tog fart när polisen ville ha uppgifter och PTS slog tillbaka
Enligt Kammarrättens referat började den konkreta tvisten med att Polismyndigheten i oktober 2015 anmälde till Post- och telestyrelsen, PTS, att Bahnhof inte följde sina skyldigheter enligt lagen om elektronisk kommunikation. Polisen ansåg att Bahnhof underlät att lämna ut uppgifter om abonnemang när sådana begärdes med stöd av lagen. Bahnhof medgav i sak att bolaget inte generellt lämnade ut sådana abonnemangsuppgifter om inte misstankarna rörde brott av allvarligare slag. Med andra ord gjorde bolaget en egen, mer restriktiv tolkning än myndigheterna.
PTS svarade hårt. Den 31 mars 2016 beslutade myndigheten att förelägga Bahnhof att vid vite om fem miljoner kronor lämna ut de uppgifter som polisen tidigare hade begärt, bland annat från datum i december 2015 och början av 2016. Föreläggandet innehöll också en framåtblickande del där Bahnhof skulle säkerställa att abonnemangsuppgifter hädanefter lämnades ut när polisen eller annan brottsbekämpande myndighet begärde dem, oavsett brottets eventuella påföljd. Det var detta som gjorde konflikten så sprängkraftig. Det handlade inte bara om ett gammalt ärende, utan om vilken princip som skulle gälla framöver.
Bahnhofs argument var att svensk lag inte kunde stå över EU:s rättighetsstadga
Bahnhof förde fram att reglerna om utlämnande av abonnemangsuppgifter inte uppfyllde de krav som EU-domstolen hade slagit fast eller senare skulle slå fast ännu tydligare. Kärnan i invändningen var att staten inte borde få tillgång till lagrade uppgifter utan att det rörde grov brottslighet, utan förhandskontroll av domstol eller oberoende myndighet och utan tydliga begränsningar. Bahnhof såg inte abonnentuppgifter som harmlösa småsaker, särskilt inte när de kopplades till IP-adresser. I praktiken kan en sådan koppling peka ut vem som stod bakom en viss uppkoppling vid en viss tidpunkt, och därmed öppna dörren till långt större kartläggning.
Företagets hållning var också strategiskt tydlig. Bahnhof ville inte bara vinna ett enskilt mål, utan driva fram ett klargörande om att svenska övervaknings- och utlämnanderegler måste vika när de kolliderar med EU-rättens skydd för privatliv och personuppgifter. Därför blev vägran att lämna ut uppgifter en symbolfråga. För Bahnhof passade det dessutom in i företagets långvariga image som operatören som gärna tar strid mot politiker, myndigheter och bred datainsamling. I en bransch där många aktörer har valt låg profil blev Bahnhof tvärtom den operatör som gjorde konflikten offentlig och ideologisk.
Kammarrätten gav Bahnhof delvis rätt men inte på det sätt som bolaget hade hoppats
När målet till sist landade i Kammarrätten i Stockholm i december 2018 blev utfallet delvis en seger för Bahnhof, men bara delvis. Domstolen slog fast att operatören inte var skyldig att lämna ut sådana abonnemangsuppgifter som hade sparats på grund av de äldre bestämmelser om lagringsskyldighet som redan hade bedömts strida mot EU-rätten. Det betydde att just de uppgifter som polisen hade begärt ut för de gamla datumen i 2015 och 2016 inte längre kunde krävas ut genom PTS:s första del av föreläggandet. Där vann Bahnhof alltså en principiellt viktig punkt.
Samtidigt förlorade bolaget den andra, framåtriktade delen. Kammarrätten ansåg att uppgifter om abonnemang, alltså exempelvis namn, adress, abonnentnummer och IP-adress som kan identifiera abonnenten, är en mer begränsad kategori än trafik- och lokaliseringsuppgifter. Domstolen bedömde att tillgång till sådana uppgifter inte utgjorde ett lika allvarligt integritetsintrång och att det därför inte krävdes samma höga tröskel som för mer känslig data. Resultatet blev att Bahnhof inte behövde lämna ut de gamla uppgifterna från den otillåtna lagringen, men däremot fortfarande hade en skyldighet att lämna ut abonnemangsuppgifter framåt enligt gällande regler.
Det som gjorde fallet intressant var att båda sidor kunde utropa någon form av seger
För Bahnhof var domen användbar därför att den bekräftade en viktig princip. Staten kunde inte utan vidare bygga sina krav på data som hade samlats in med stöd av regler som senare visat sig oförenliga med EU-rätten. Det var en tydlig markering om att rättsstatliga gränser faktiskt finns, även när brottsbekämpning används som argument. I den meningen var Bahnhofs vägran inte bara ett trotsigt PR-utspel, utan något som delvis fick rättsligt genomslag.
För myndigheterna var domen samtidigt tillräckligt stark för att de inte skulle uppfatta den som ett nederlag. Kammarrätten gav dem rätt i att operatörer även fortsättningsvis måste lämna ut vissa abonnemangsuppgifter till polisen och att detta inte i sig stred mot EU-rätten. Därmed blev utfallet typiskt för många konflikter i integritetsfrågor. Ingen sida fick allt, men båda kunde peka på delar av domen som stöd för sin linje. Det är också därför fallet har levt kvar i debatten. Det löste inte frågan en gång för alla, men det ritade om gränserna.
Bahnhof gjorde frågan större än juridik och använde den för att förstärka sin identitet
Det går inte att bortse från att Bahnhof också förstod det kommunikativa värdet i att ta strid. I Sverige har företaget länge profilerat sig som ett bolag som säljer mer än bara uppkoppling. Man säljer också en berättelse om digital frihet, motstånd mot övervakning och en viss misstänksamhet mot både staten och de stora teknikjättarnas hunger efter data. När bolaget vägrade lämna ut uppgifter till polisen passade det därför perfekt in i den självbild som redan fanns. Det gav Bahnhof en roll som rebellisk aktör i en annars ganska teknokratisk telemarknad.
Det betyder inte att konflikten bara var marknadsföring. Men det betyder att Bahnhof lyckades göra en svår juridisk fråga begriplig för en bredare publik. I stället för att debatten fastnade i paragrafer om LEK, proportionalitet och unionsrätt blev den för många svenskar en fråga om något betydligt mer intuitivt, nämligen om staten ska kunna kräva att ett internetbolag lämnar ut uppgifter om sina kunder även när rättsläget är omstritt. Där lyckades Bahnhof formulera en berättelse som var enkel att förstå, och det är en viktig anledning till att just deras namn blev så förknippat med integritetsfrågan.
Fallet säger mycket om hur internet, brottsbekämpning och integritet krockar i Sverige
Det mest intressanta med Bahnhofs vägran är kanske inte bara vad som hände då, utan vad fallet avslöjar om den svenska synen på digital kommunikation. Under lång tid har staten velat ge polisen och andra myndigheter bättre tillgång till uppgifter som kan användas i brottsutredningar. Samtidigt har EU-domstolen gång på gång markerat att generell datalagring och för lättillgänglig åtkomst till data riskerar att gå för långt. I den kollisionen hamnar operatörerna mitt emellan, och Bahnhof valde att inte agera passiv mellanhand utan att öppet göra motstånd.
Det gör fallet om Bahnhof ovanligt minnesvärt. Det var inte bara en teknisk tvist om abonnemangsuppgifter, inte bara en konflikt mellan polis och operatör och inte bara ännu ett mål om datalagring. Det blev en påminnelse om att internetinfrastruktur också är makt, och att den som kontrollerar uppgifterna om användarna sitter i en position där juridik, politik och principer möts. När Bahnhof vägrade lämna ut användares uppgifter till polisen handlade det därför ytterst om vem som ska sätta gränserna för övervakning i ett digitalt samhälle, staten, domstolarna eller de företag som faktiskt håller i kablarna.
Om författaren
