C 582/14 Patrick Breyer tegen Duitsland

Signaleringsfiche

Arrest van het Hof van 19 oktober 2016, zaak C‑582/14 Patrick Breyer tegen Duitsland

Sleutelwoorden

Verwerking van persoonsgegevens – Richtlijn 95/46/EG – Artikel 2, onder a) – Artikel 7, onder f) – Begrip “persoonsgegevens”– Internetprotocoladressen – Bewaring door een aanbieder van onlinemediadiensten – Nationale regeling volgens welke geen rekening kan worden gehouden met het gerechtvaardigde belang van de voor de verwerking verantwoordelijke persoon

Beleidsrelevantie

Deze uitspraak is van belang voor de overheid om gegevens van hun websitebezoekers te bewaren en te gebruiken om cyberaanvallen te bestrijden en strafvervolging mogelijk te maken. Het Hof heeft in de uitspraak verduidelijkt dat ook een dynamisch IP-adres een “persoonsgegeven” is als er wettige (middelen) bestaan om de persoon achter het adres te identificeren. Daarnaast volgt uit de uitspraak dat nationale regelgeving niet categorisch de verwerking van bepaalde categorieën persoonsgegevens mag uitsluiten zonder dat een belangenafweging in het concrete geval mogelijk is. De verwerking van persoonsgegevens door overheidsinstellingen ten behoeve van de instandhouding van het toekomstig gebruik van hun online diensten is een mogelijk gerechtvaardigd belang.

Samenvatting, feiten en redenering

Duitse federale overheidsinstellingen houden logbestanden van de IP-adressen van de bezoekers van hun websites bij om cyberaanvallen tegen te gaan en strafvervolging van de aanvallers mogelijk te maken. Breyer komt op tegen het bewaren van zijn (dynamisch) IP-adres door de Duitse federale overheidsinstellingen waarvan hij de websites heeft bezocht. Hij verzoekt de rechter deze instellingen een verbod op te leggen om zijn IP-adres te bewaren of te laten bewaren door derden. In dat kader vraagt het Bundesgerichtshof het EU-Hof of een dynamisch IP-adres ook “persoonsgegevens” zijn in de zin van de richtlijn bescherming persoonsgegevens (95/46). Een dynamisch IP-adres wijzigt met elke nieuwe internetverbinding. Hoewel IP adressen al door het Hof zijn gekwalificeerd als persoonsgegevens (zaak C- 70/10 Scarlet extended) is hier de vraag of een ‘dynamisch IP-adres’ wel betrekking heeft op een identificeerbaar natuurlijke persoon wanneer identificatie alleen indirect via de internetprovider mogelijk is. Het Hof oordeelt dat dat zo is. Uit de tekst van de richtlijn volgt dat met indirecte identificatie rekening is gehouden. De gegevens hoeven niet in handen van de online mediadienst te zijn maar moet deze moet wel “over de middelen beschikken die redelijkerwijs kunnen worden ingezet om de persoon te identificeren”. Dat houdt volgens het Hof in dat er wettige methoden bestaan en e.e.a. geen excessieve inspanning vereist om de identiteit van de persoon te achterhalen. I.c. kunnen de Duitse overheidsinstellingen zich in geval van cyberaanvallen wenden tot de bevoegde autoriteit zodat die stappen onderneemt om de gegevens te verkrijgen met het oog op strafvervolging. Daarmee lijken ze aan het vereiste uit de richtlijn te voldoen maar de verwijzende rechter dient dat te verifiëren.

De verwijzende rechter vraagt daarnaast of de Duitse regel waardoor het verzamelen van persoonsgegevens zonder toestemming uitsluitend is toegestaan voor het gebruik van de dienst en om te factureren strookt met de richtlijn. Het Hof overweegt dat de richtlijn uitgaat van het beginsel (vervat in artikel 7 , f) dat de verwerking van persoonsgegevens rechtmatig is wanneer die noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verwerker of een derde aan wie de gegevens worden verstrekt mits de bescherming van de fundamentele vrijheden van de gebruiker niet prevaleren. De Duitse regel is volgens het Hof te beperkt. Niet alleen het gebruik maar ook de instandhouding na elk concreet gebruik van publiek toegankelijke website zou een gerechtvaardigd belang kunnen zijn. Het Hof concludeert dat de Duitse regel in strijd is met de richtlijn omdat het categorisch de verwerking van bepaalde categorieën persoonsgegevens uitsluit zonder dat een belangenafweging in het concrete geval mogelijk is. Lidstaten mogen de uitkomst van die afweging niet bij voorbaat vaststellen ten gunste van het ene of het andere belang maar moeten ruimte bieden voor een afweging in het concrete geval.

Eerste inventarisatie van de gevolgen

De gevolgen van deze uitspraak van het Hof voor Nederland zijn beperkt.

Allereerst verduidelijkt de uitspraak wat er onder de reikwijdte valt van het begrip “persoonsgegevens”. Het Hof stelt dat gegevens (in casu een dynamische IP-adres) persoonsgegevens zijn wanneer een online mediadienst over de middelen beschikt die redelijkerwijs kunnen worden ingezet om een persoon te identificeren. Voor Nederland betekent dit dat gegevens als persoonsgegevens zullen worden gekwalificeerd indien een partij over (wettige) middelen beschikt die redelijkerwijs kunnen worden ingezet om de persoon te identificeren.

Ten tweede geeft het Hof aan dat een Duitse regeling met betrekking tot het verwerken van persoonsgegevens te strikt is en niet strookt met richtlijn 95/46. De Nederlandse wetgeving is in lijn met die richtlijn. De Wet bescherming persoonsgegevens sluit immers de verwerking van bepaalde categorieën persoonsgegevens niet categorisch uit en biedt ruimte voor een afweging in het concrete geval (art. 8 Wbp). De uitspraak van het Hof heeft ook geen gevolgen voor de Algemene Verordening Gegevensbescherming en de direct daaruit voortvloeiende regelgeving.

Voorstel voor behandeling

De ICER-H heeft het fiche vastgesteld en zendt dit fiche met het arrest ter kennisgeving aan de leden van het IOWJZ. Indien nodig kan het fiche ter kennisneming aan hun ministers worden doorgeleid. Een vervolgfiche is niet noodzakelijk.