Naar aanleiding van de prejudiciële vragen van het Bundesgerichtshof heeft de Advocaat Generaal (“AG”) van het Hof van Justitie EU (“Hof”) op 12 mei 2016 onder meer geconcludeerd dat een dynamisch IP-adres kwalificeert als een persoonsgegeven, indien een internet service provider (“ISP”) beschikt over de aanvullende gegevens die het, samen met het dynamische IP-adres, mogelijk maken de gebruiker te identificeren.
Achtergrond van de zaak
Bij het gebruik van het internet krijgt je apparaat (computer, tablet of telefoon) door de internet service provider (“ISP”) een internetprotocoladres (beter bekend als: IP-adres) toegewezen. In veel gevallen is dit een dynamisch IP-adres; per verbinding met het internet krijgt je apparaat een ander IP-adres toegewezen. De ISP houdt bij welk IP-adres op welk moment aan welk apparaat is toegewezen.
In Duitsland worden bij websites van federale instellingen verschillende data, waaronder het IP-adres, van bezoekers van de website bewaard voor het afweren van internetaanvallen en de strafvervolging van de aanvallers mogelijk te maken. Volgens Duitse wetgeving mogen persoonsgegevens echter alleen worden bewaard voor zover dat nodig is om het gebruik van elektronische mediadiensten (zoals een website van een federale instellingen)mogelijk te maken en te factureren. Wanneer de bezoeker de website heeft verlaten mogen de persoonsgegevens alleen nog worden gebruikt voor facturatie.
De heer P. Breyer is van mening dat een IP-adres kwalificeert als persoonsgegeven en dat het na afloop van het bezoek bewaren daarvan voor security doeleinden in strijd is met de wet. Breyer vordert daarom staking van deze bewaring van het IP-adres door de Bondsrepubliek Duitsland voor zover deze gegevens niet bewaard worden. De vordering van Breyer heeft geleid tot prejudiciële vragen aan het Hof van Justitie EU (“Hof”) over onder andere de kwalificatie van dynamische IP-adressen als persoonsgegevens.
Conclusie van de Advocaat-Generaal
De AG herformuleert de eerste prejudiciële vraag van het Bundesgerichtshof dat het Hof moet bepalen of “een dynamisch IP-adres voor de aanbieder van een internetdienst [de websitehouder] een persoonsgegeven is, wanneer de telefoonmaatschappij die de toegang tot internet aanbiedt (de internetprovider) aanvullende gegevens bezit die in combinatie met het IP-adres de identificatie mogelijk maken van degene die de website van de aanbieder van de internetdienst bezoekt” (r.o. 51).
Voor de beantwoording van deze vraag wijst de AG op overweging 26 van de Richtlijn 95/46/EG (Privacy Richtlijn), waarin is aangegeven dat gegevens kwalificeren als persoonsgegevens indien zij te combineren zijn met “middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren”. De AG benoemt daarbij twee stromingen ten aanzien van de interpretatie van deze overweging:
1. de objectieve of absolute stroming. Deze stroming meent dat een gegeven een persoonsgegeven is, indien dat gegeven, in combinatie met gegevens die een derde heeft, een betrokkene kan identificeren, ongeacht of deze mogelijkheid in de praktijk werkbaar is;
en
2. de relatieve stroming. Deze stroming meent dat een gegeven slechts kwalificeert als persoonsgegeven indien in de praktijk een reële mogelijkheid bestaat dat beschikt kan worden over de gegevens van een derde om de betrokkene te kunnen identificeren.
Bij de behandeling van de vraag wordt er verder vanuit gegaan dat (i) de verantwoordelijke zelf niet beschikt over aanvullende gegevens die geschikt zijn om de betrokkene te identificeren, en/of (ii) de verantwoordelijke – in zijn hoedanigheid als verantwoordelijke – niet in staat is aanvullende gegevens “redelijkerwijs” voor het doel van identificatie van de betrokkene in te zetten.
De Artikel 29 Werkgroep (de overkoepelende organisatie van de Europese nationale privacy toezichthouders)is van mening dat een IP-adres per definitie een persoonsgegeven is, tenzij het IP-adres is gebruikt in een internetcafé waar geen persoonlijke informatie van de gebruiker is geregistreerd. De AG is het daar niet mee eens. De AG is van mening dat vereist is dat redelijkerwijs aangenomen moet kunnen worden dat de verantwoordelijke de gegevens van een benaderbare derde kan verkrijgen. Dat is bijvoorbeeld niet het geval indien het verkrijgen van de te combineren gegevens heel kostbaar, praktisch ondoenlijk of bij wet verboden is (r.o. 68).
Toegepast op de concrete situatie komt de AG tot de conclusie dat een ISP geenszins een hypothetische, onbekende en ontoegankelijke derde is om aanvullende gegevens van te verkrijgen en dat het verkrijgen van deze gegevens door de Duitse overheid een “redelijke” mogelijkheid is – hoe beperkt die in de praktijk ook kan zijn (r.o. 69, 72 en 73). Het dynamisch IP-adres moet daarom worden aangemerkt als een persoonsgegeven.
Lees de volledige conclusie hier.
