Het Europese Hof van Justitie (HvJ EU) heeft vandaag geoordeeld dat dynamische IP-adressen persoonsgegevens kunnen zijn in de zin van de Privacyrichtlijn 95/46, geïmplementeerd in de Wet bescherming persoonsgegevens. Het Duitse Bundesgerichtshof heeft onder meer deze vraag voorgelegd aan het HvJ EU.
Eerst even kort: wat is een dynamisch IP adres? Een IP adres is een reeks van nummers dat wordt toegekend aan een computer die met het internet verbonden is. Wanneer je een website bezoekt wordt het IP-adres van de computer waarmee je de website bezoekt, doorgegeven aan de server waar de website is opgeslagen. Zo kunnen de gegevens aan de juiste ontvanger worden overgedragen. In geval van IP-adressen kan het dynamische IP-adres worden onderscheiden van een statisch IP-adres. Een dynamisch IP-adres wijzigt, in tegenstelling tot een statisch IP-adres, bij iedere nieuwe verbinding met het internet. Een statisch IP-adres is onveranderlijk.
In de zaak die aan het HvJ EU is voorgelegd was het volgende aan de orde. Patrick Breyer (Breyer) heeft verschillende Duitse federale websites bezocht. Deze websites zijn voor het publiek toegankelijk en bieden nieuwsberichten aan. Bij de meeste van deze websites worden logbestanden geregistreerd die na afloop van het bezoek de volgende gegevens bewaren: naam van de website of het bestand, termen die in zoekvelden zijn ingevoerd, tijdstip van het bezoeken van de website, de hoeveelheid overgedragen gegevens, bericht of de opvraging is gelukt en het IP-adres.
Breyer is een procedure gestart tegen de Bondsrepubliek Duitsland waarin hij heeft gevorderd dat het wordt verboden om zijn IP-adres te bewaren voor zover de bewaring niet is bedoeld om de beschikbaarheid van de website te herstellen in geval van een storing. De rechter in eerste aanleg heeft de vordering van Breyer afgewezen als gevolg waarvan Breyer in hoger beroep is gegaan. De Duitse rechter in hoger beroep oordeelt dat een dynamisch IP-adres samen met het tijdstip van het bezoek een persoonsgegeven vormt indien de gebruiker tijdens zijn bezoek aan de website zijn identiteit heeft bekend gemaakt, bijvoorbeeld door zijn e-mailadres op te geven. In dit geval kan de exploitant van de website de gebruiker identificeren door het e-mailadres te koppelen aan het IP-adres. In andere gevallen kan het beroep van Breyer volgens de Duitse hogere rechter niet slagen. Indien de gebruiker zijn identiteit namelijk niet bekendmaakt tijdens zijn bezoek aan de website kan alleen de internetserviceprovider het IP-adres verbinden aan de houder van een aansluiting. Voor de Duitse Bondsrepubliek, de aanbieder van de online media, is dit niet mogelijk.
Beide partijen zijn in cassatie gegaan van de beslissing van het Duitse hof. Het Bundesgerichthof vraagt zich af of de dynamische IP-adressen van Breyer wel persoonsgegevens zijn in de zin van de Privacyrichtlijn en als dat zo is, of de bewaring van het IP-adres na het bezoek aan de website is toegestaan. Zij legt daarover twee prejudiciële vragen aan het HvJ EU voor.
Vooraf merkt het HvJ EU op, dat de onderhavige zaak verschilt van de zaak Scarlet Extended (C-70/10, EU:C:2011:771) omdat daarin is bepaald dat IP-adressen beschermde persoonsgegevens zijn, maar die IP-adressen werden verzameld en gebruikt door internetserviceproviders. In dit geval worden de IP-adressen bewaard door de Bondsrepubliek Duitsland, de aanbieder van de onlinemediadiensten.
Dynamische gegevens persoonsgegevens?
Het HvJ EU stelt allereerst vast dat een dynamisch IP-adres niet rechtsreeks herleidbaar is tot een persoon aangezien niet direct duidelijk is wat de identiteit van de eigenaar van de computer is noch de identiteit van de persoon die van de computer gebruik heeft gemaakt. De identificatie is slechts mogelijk in combinatie met andere gegevens. De Privacyrichtlijn bepaalt daarover dat “om te bepalen of een persoon identificeerbaar is, [moet] worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is, dan wel door enige andere persoon, kunnen worden ingezet om voornoemde persoon te identificeren.”
Het HvJ EU komt tot de conclusie dat nu ook andere personen de middelen in kunnen zetten om een persoon te identificeren, het niet is vereist dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd bij een en dezelfde persoon dienen te berusten. Een dynamisch IP-adres kan daarom een persoonsgegevens zijn ondanks dat de benodigde gegevens zich niet direct bij de Bondrepubliek Duitsland bevinden maar bij de internetserviceprovider. De vraag is dan hoe komt de Duitse Bondsrepubliek aan de benodigde gegevens en hoe ‘eenvoudig’ is dit?
De Bondsrepubliek Duitsland heeft aangevoerd dat de internetserviceprovider naar Duits recht de benodigde gegevens niet mag doorgeven aan de aanbieder van online mediadiensten. Echter oordeelt het HvJ EU dat er wel juridische mogelijkheden lijken te zijn om via de bevoegde instanties aan de gegevens te komen. Naar Nederlands recht is dit zowel civielrechtelijk (denk aan het arrest Lycos/Pessers) als strafrechtelijk mogelijk. De Bondsrepubliek Duitsland beschikt volgens het HvJ EU dan ook over middelen die redelijkerwijs kunnen worden ingezet om de persoon achter een IP-adres te identificeren.
Het dynamische IP-adres is dus volgens het HvJ EU een indirect herleidbaar persoonsgegeven.
Mogen de dynamische IP-adressen na het bezoek worden bewaard?
In de Duitse nationale wetgeving geldt dat het enkel is toegestaan om persoonsgegevens van een gebruiker van onlinemediadiensten zonder diens toestemming te verzamelen en te benutten voor zover dit nodig is om het concrete gebruik van het betrokken onlinemedium door deze gebruiker mogelijk te maken en te factureren, zonder dat de doelstelling die erin bestaat de goede werking van dit medium in het algemeen te waarborgen, rechtvaardigt dat die gegevens worden gebruikt na afloop van de desbetreffende sessie. Het Bundesgerichthof vraagt zich of artikel 7 van de Privacyrichtlijn (gerechtvaardigd belang) zich tegen een dergelijke regeling verzet.
Het HvJ EU vindt van wel nu artikel 7 van de Privacyrichtlijn in het algemeen verwijst naar de “behartiging van het gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan die de gegevens worden verstrekt”, terwijl de Duitse nationale regeling zich beperkt tot het concrete gebruik van de website. Volgens het HvJ EU kan het dus mogelijk zijn om de IP-adressen ook na het bezoek aan de website te bewaren.
Lees de uitspraak hier.