020 530 0160

Duitse prejudiciële vragen: IP-adres een persoonsgegeven?

Gepubliceerd op 18 februari 2015 categorieën ,

In een Duitse appelprocedure zijn door het Bundesgerichtshof prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie ten aanzien van de kwalificatie van IP-adressen als persoonsgegeven en de uitleg van een Duitse bepaling in het kader van de verwerkingsgrond, het gerechtvaardigd belang.

De twee vragen luiden als volgt:

Dient artikel 2, onder a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) – richtlijn betreffende gegevensbescherming – aldus te worden uitgelegd dat een internetprotocoladres (IP-adres) dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de aanbieder van de toegang) beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?

En

Verzet artikel 7, onder f, van de richtlijn betreffende gegevensbescherming zich tegen een regel van nationaal recht op grond waarvan de aanbieder van diensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten, voor zover dit nodig is om het concrete gebruik van het telemedium door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling die erin bestaat de goede werking van het telemedium in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van het betrokken gebruik?

De achtergrond van deze vragen is als volgt. Veel federale instellingen in Duitsland slaan de IP-adressen van bezoekers van hun website op in logbestanden. Na afloop van het gebruik van de website wordt – naast het bewaren van de reeds opgeslagen IP-adressen – ook verschillende andere gegevens over het bezoek opgeslagen, waaronder het tijdstip van het bezoek. De verzoeker, Patrick Breyer, heeft in deze zaak tegen de Bondsrepubliek Duitsland de rechter verzocht te verbieden dat zijn IP-adres na zijn gebruik van de website worden opgeslagen, tenzij dat nodig is om in het geval van een storing de beschikbaarheid van de website te herstellen.

De rechter heeft het verzoek in eerste aanleg afgewezen. In hoger beroep is de vordering gedeeltelijk toegewezen, namelijk voor zover Breyer tijdens het gebruik van de website tevens andere persoonsgegevens heeft verstrekt aan de websitehouder op basis waarvan hij kan worden geïdentificeerd, zoals bijvoorbeeld zijn e-mailadres met daarin zijn naam. Tegen deze uitspraak is door beide partijen zogeheten Revision ingesteld.

ip-adres een persoonsgegeven?

Ten aanzien van de eerste vraag staat het Bundesgerichtshof de stelling voor dat, wanneer een bezoeker bij het gebruik van een website niet zijn echte naam opgeeft, het opgeslagen IP-adres in combinatie met het tijdstip van het bezoek geen persoonsgegeven kan zijn, omdat de websitehouder op die wijze niet redelijkerwijs (zonder onevenredige besteding van tijd, kosten en inspanning, zodat het risico op identificatie nagenoeg onbestaande lijkt) de identiteit van de bezoeker kan achterhalen. Deze redenering volgend zou Breyer alleen staking van het opslaan en bewaren van zijn IP-adres na gebruik kunnen vorderen, voor zover dat IP-adres gekoppeld kan worden aan zijn naam en om die reden een persoonsgegeven vormt. Voor het overige zou het IP-adres niet als persoonsgegeven kwalificeren en zodoende niet onder het Duitse verwerkingsverbod vallen (zie hieronder).

Breyer kan echter een verdergaande vordering tot staking instellen, indien het IP-adres – in elk geval in combinatie met het tijdstip van het bezoek van de website – kwalificeert als een persoonsgegeven en voor de verwerking na het bezoek geen rechtvaardigingsgrond bestaat. Het IP-adres kan kwalificeren als persoonsgegeven indien op basis van de combinatie van opgeslagen gegevens Breyer redelijkerwijs geïdentificeerd kan worden met behulp van middelen van een derde, in dit geval bijvoorbeeld de internet service provider. De verwerking van het IP-adres als persoonsgegeven is dan mogelijk verboden.

verzet richtlijn zich tegen nationale bepaling?

Mocht worden aangenomen dat het IP-adres een persoonsgegeven vormt, dan loopt het Bundesgerichtshof tegen het volgende probleem aan. Ingevolge de Duitse wetgeving mag een persoonsgegeven alleen bewaard worden na het bezoek aan de website voor zover dit recht volgt uit de wet of wettelijk voorschrift van toepassing op die instantie, danwel op basis van toestemming van de betrokkene.

Dat er geen sprake is van toestemming mag wel blijken. De Duitse wet biedt wel een rechtvaardigingsgrond voor de verwerking door deze federale instanties, namelijk indien dit nodig is om het gebruik van de website mogelijk te maken, of om te factureren. Verweerder beroept zich op deze rechtvaardigingsgrond met de stelling dat zij de IP-adressen nodig heeft om zich te weren tegen DoS aanvallen en zodoende het gebruik van de website – in zijn algemeenheid – mogelijk te maken.

Zou echter de deze Duitse regel beperkt worden uitgelegd, namelijk dat het gebruik zoals bedoeld in deze rechtvaardigingsgrond alleen ziet op de verhouding tussen de betrokkene en de website houder zelf, dan komt geen beroep op die grond toe, immers gebruikt (bezoekt) de betrokkene de website niet meer op het moment dat de houder zijn IP-adres verwerkt voor beveiligingsdoeleinden. Er is in dat geval geen grondslag voor het bewaren van de IP-adressen (facturering vindt niet plaats) en de vordering dient dan dus te worden toegewezen.

Het Bundesgerichtshof vraagt zich af of deze beperkte uitleg van de nationale wetgeving zoals zij voorstaat, mogelijk een te beperkte uitwerking geeft aan de rechtvaardigingsgrond van het gerechtvaardigd belang in de zin van de Privacy Richtlijn.

Nederland

In Nederland is overigens de heersende leer dat IP-adressen (in ieder geval in de meeste gevallen) wél als persoonsgegeven kwalificeren en dus als zodanig behandeld moeten worden. Ook de Artikel 29 Werkgroep, een overlegorgaan van alle Europese privacy toezichthouders, gaat hiervan uit.

In dat licht is het antwoord op de eerste vraag van het Bundesgerichtshof – zeker gezien de formulering daarvan – mogelijk al wel te raden.

Bron: itenrecht.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Rosalie Heijna

publicaties

Gerelateerde artikelen