Dynamische IP adressen kunnen als persoonsgegevens worden beschouwd

ipaddressset

Op 19 oktober oordeelde het Hof van Justitie (HvJ) in de zaak Patrick Breyer v Bundesrepublik Deutschland dat dynamische IP- adressen[1] als persoonsgegevens in de zin van Privacyrichtlijn 95/46 kunnen worden beschouwd. Het HvJ volgt hiermee het advies van Advocaat Generaal Manuel Campos Sánchez-Bordona van 12 mei 2016.

De feiten die aan de oorsprong van dit arrest liggen zijn de volgende: De heer Patrick Breyer (een Duitse inwoner) bezocht verschillende (voor het publiek toegankelijke) websites van Duitse federale instellingen. 

Bij de meeste van deze websites worden logbestanden geregistreerd die na afloop van het bezoek een aantal gegevens bewaren: de naam van de opgevraagde website of van het opgevraagde bestand, de termen die in de zoekvelden werden ingevoerd, het tijdstip van de opvraging, de hoeveelheid overgedragen gegevens, het bericht of de opvraging is gelukt, en het IP adres van de computer van waaraf de opvraging heeft plaatsgevonden. Doel van dergelijke registratie is het afweren van cyberaanvallen (en de strafvervolging van aanvallers van dergelijke aanvallen mogelijk te maken).

Naar aanleiding van de registratie van deze logbestanden, startte Breyer een procedure tegen de Bondsrepubliek Duitsland, waarin hij de rechtbank verzocht om een verbod op te leggen om zijn IP- adres te bewaren (of door derden te doen bewaren), voor zover de bewaring ervan niet nodig is om de beschikbaarheid van die media te herstellen in geval van storing. Na verwerping van de vordering in eerste aanleg, stelde Breyer hoger beroep in.

De appelrechter hervormde deze beslissing gedeeltelijk en stelde dat de Bondsrepubliek Duitsland het IP-adres niet mocht registreren en bewaren indien dit adres (i) samen met het tijdstip van het bezoek (dat via dit adres heeft plaatsgevonden) wordt bewaard, en (ii) de gebruiker tijdens dit bezoek zijn identiteit (e.g. via een email adres) heeft bekendgemaakt, tenzij de bewaring van het IP-adres nodig is om de beschikbaarheid van het betrokken onlinemedium te herstellen in geval van storing. Volgens de appelrechter vormt een dynamisch IP-adres samen met (i) het tijdstip van het bezoek dat via dit adres heeft plaatsgevonden en (ii) de bekendmaking van de gebruiker, immers een persoonsgegeven vermits het voor de exploitant van de website mogelijk is om de gebruiker te identificeren door de naam van de laatstgenoemde en het IP- adres van diens computer aan elkaar te koppelen. Indien de gebruiker zijn identiteit evenwel niet bekend maakt, moet het IP adres niet als persoonsgegeven worden beschouwd vermits de Bondsrepubliek Duitsland de gebruiker niet kan identificeren.

Tegen deze beslissing van de appelrechter werd door beide partijen cassatieberoep ingesteld bij het Bundesgerichthof. Deze schorste de behandeling van de zaak en verzocht het HvJ om een prejudiciële beslissing over de volgende vragen:

  • Moet een dynamisch IP adres dat door een aanbieder van onlinemediadiensten (in casu de Duitse federale instellingen) wordt opgeslagen wanneer zijn internetsite wordt bezocht, als een persoonsgegeven in de zin van Artikel 2 (a) van de Privacyrichtlijn worden beschouwd wanneer enkel een derde (in casu de internetprovider) beschikt over de aanvullende gegevens die nodig zijn om de gebruiker te identificeren?
  • Verzet artikel 7 (f) van de Privacyrichtlijn zich tegen een regel van nationaal recht op grond waarvan de aanbieder van onlinemediadiensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten voor zover dit nodig is om het gebruik van het onlinemedium door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling, die erin bestaat de goede werking van het onlinemedium]in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van de desbetreffende sessie?

Het HvJ antwoordde in beide gevallen bevestigend:

Eerste prejudiciële vraag:

Het HvJ stelt allereerst dat een dynamisch IP-adres an sich niet direct herleidbaar is tot een persoon vermits uit dergelijk adres niet rechtstreeks blijkt wat de identiteit van de eigenaar van de computer is, noch wat de identiteit is van de persoon die van de computer heeft gebruik.

Uit de Privacyrichtlijn volgt evenwel dat een persoon niet alleen als identificeerbaar wordt beschouwd wanneer hij direct kan worden geïdentificeerd, maar ook wanneer hij indirect kan worden geïdentificeerd.[2] Dit impliceert dat de identificatie ook mogelijk is in combinatie met andere gegevens. Hierbij moet gekeken worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is, dan wel door enige andere persoon, kunnen worden ingezet om voornoemde persoon te identificeren.[3]

Op basis van het voorgaande komt het HvJ tot de conclusie dat ook andere personen de middelen in kunnen zetten om een persoon te identificeren. Het is daarom niet vereist dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd bij een en dezelfde persoon berust. Een dynamisch IP-adres kan daarom een persoonsgegevens zijn ondanks dat de benodigde gegevens zich niet direct bij de Bondrepubliek Duitsland bevinden maar bij de ISP.[4]

Het dynamische IP-adres is dus volgens het HvJ een indirect herleidbaar persoonsgegeven.

Tweede prejudiciële vraag:

Met de tweede prejudiciële vraag wenst het Bundesgerichthof te vernemen of artikel 7 (f) (i.e. de behartiging van het gerechtvaardigde belang)[5] moet worden uitgelegd dat het zich verzet tegen de Duitse nationale wetgeving die stelt het enkel is toegestaan om persoonsgegevens van een gebruiker van online mediadiensten zonder diens toestemming te verzamelen en te benutten voor zover dit nodig is om het concrete gebruik van deze diensten door deze gebruiker mogelijk te maken en te factureren, zonder dat de doelstelling die erin bestaat de goede werking van die diensten in het algemeen te waarborgen, rechtvaardigt dat die gegevens worden benut na afloop van de desbetreffende sessie

Het HvJ EU vindt van wel vermits artikel 7 (f) van de Privacyrichtlijn in het algemeen verwijst naar de “behartiging van het gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan die de gegevens worden verstrekt”, terwijl de Duitse nationale wet zich in het algemeen verzet tegen het feit dat persoonsgegevens (nadat van de online mediadiensten is gebruikgemaakt) worden bewaard om het gebruik van online media te garanderen. Volgens het HvJ kunnen de Duitse federale instellingen die online mediadiensten aanbieden, er evenwel ook een gerechtvaardigd belang bij hebben dat de goede werking van hun websites na elk concreet gebruik ervan in stand wordt gehouden.

Het Duitse Bundesgerichthof dient nu een uitspraak te doen over het dispuut zelf.

De volledige tekst van het HvJ vindt u hier.

[1] IP-adressen zijn numerieke reeksen die worden toegekend aan computers die met het internet zijn verbonden, teneinde hun onderlinge communicatie via het internet mogelijk te maken. Als een website wordt bezocht, wordt het IP-adres van de computer waarmee de gegevens worden opgevraagd, doorgegeven aan de server waar de bezochte website is opgeslagen. Dit is nodig om de opgevraagde gegevens aan de juiste ontvanger over te dragen. De IP adressen kunnen worden ingedeeld in 2 categorieën: dynamische en statische. Een dynamisch IP-adres wijzigt, in tegenstelling tot een statisch IP-adres, bij iedere nieuwe verbinding met het internet. Een statisch IP-adres is onveranderlijk.

[2] Artikel 2 (a) Privacyrichtlijn.

[3] Overweging 26 van de Privacy richtlijn

[4] De argumentatie van de Duitse Bondsrepubliek dat de internet service provider naar Duits recht de benodigde gegevens niet mag doorgeven aan de aanbieder van online mediadiensten (in casu de federale instellingen) werd door het HvJ niet gevolgd. Het HvJ oordeelde immers dat er wel wettelijke middelen (i.e. via de juridische weg) bestaan om aan de gegevens te komen en om derhalve de persoon te identificeren.

[5] Artikel 7 (f) stelt dat ‘de lidstaten kunnen bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n ) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1 , lid 1 , van deze richtlijn, niet prevaleren’