Prejudiciële vragen over wanneer een opgeslagen IP-adres een persoonsgegeven vormt
Prejudiciële vragen aan HvJ EU 28 oktober 2015, IEFbe 1206; zaak C-582/14 (Breyer tegen Duitsland)
Persoonsgegevens. Privacy. Vragen:
1. Dient artikel 2 richtlijn betreffende gegevensbescherming – aldus te worden uitgelegd dat een internetprotocoladres (IP-adres) dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de aanbieder van de toegang) beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?
2. Verzet artikel 7, onder f, van de richtlijn betreffende gegevensbescherming zich tegen een regel van nationaal recht op grond waarvan de aanbieder van diensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten, voor zover dit nodig is om het concrete gebruik van het telemedium door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling die erin bestaat de goede werking van het telemedium in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van het betrokken gebruik?
Verzoeker Patrick Breyer heeft een vordering tegen Duitsland ingesteld tot staking van opslag van internetprotocoladressen (IP-adressen). Deze adressen worden op door computergebruikers bezochte internetportalen (het gaat hier over openbare internetportalen van de federale overheden) opgeslagen met gegevens over tijdstip van opvraging en de hoeveelheid gegevens die zijn geraadpleegd. Verzoeker eist staking van het (doen) bewaren van die gegevens. Het geadieerde Amtsgericht verwerpt zijn beroep. In hoger beroep wordt hij gedeeltelijk in het gelijk gesteld: verweerster wordt veroordeeld tot staking van het na afloop van het betrokken gebruik, samen met het tijdstip van het betrokken gebruik, bewaren of door derden doen bewaren van het IP-adres van het host-systeem van verzoeker waarmee de toegang plaatsvindt, dat in verband met het gebruik van voor het publiek toegankelijke telemedia van verweerster via internet wordt verstuurd, voor zover verzoeker zijn personalia tijdens het gebruik ook opgeeft in de vorm van een e-mailadres waaruit zijn personalia blijken en tenzij de bewaring in geval van storing nodig is om de beschikbaarheid van het telemedium te herstellen. Beide partijen vragen ‘revision’: verzoeker vordert veroordeling zonder de door de appelrechter gegeven beperkingen; verweerster handhaaft haar standpunt dat het beroep in zijn geheel moet worden afgewezen.
De verwijzende DUI rechter (Bundesgerichtshof) is van mening dat het IP-adres tezamen met het tijdstip van gebruik en in gevallen waarin de gebruiker zijn echte naam meedeelt een persoonsgegeven vormt. Gebruik na afloop is naar DUI recht ongeoorloofd indien verzoeker daarvoor geen toestemming heeft verleend en er geen rechtvaardigingsgrond is of een in de wet vereiste ‘noodzaak’ (bijvoorbeeld voor facturering). Voor verweerster vormt het enkele IP-adres echter geen persoonsgegeven omdat de houder/gebruiker zo niet kan worden geïdentificeerd. Het doorgeven aan derden is slechts in beperkte gevallen toegestaan (bijvoorbeeld voor een strafrechtelijk onderzoek). Veilige exploitatie valt daar niet onder. Voor wat betreft de vraag of verzoeker „identificeerbaar” was (voorwaarde voor een persoonsgegeven) constateert hij dat de heersende opvatting is dat sprake moet zijn van een relatief criterium. Dat wil zeggen dat identificatie voor de betreffende instantie gepaard moet gaan met een onevenredige besteding van tijd, kosten en inspanning, zodat het risico op identificatie nagenoeg onbestaande lijkt (zie ook overweging 26 bij RL 95/46). Voor de uitlegging van het nationale recht is bepalend hoe de kwalificatie als persoonsgegeven in artikel 2, onder a, van de richtlijn betreffende gegevensbescherming dient te worden begrepen.